发布于 2016-05-05 14:53:31 | 351 次阅读 | 评论: 0 | 来源: 网友投递

这里有新鲜出炉的精品教程，程序狗速度看过来！

ImageMagick 开源免费的图片处理软件

ImageMagick 是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用，图片的旋转、组合，文本，直线，多边形，椭圆，曲线，附加到图片伸展旋转。ImageMagick是免费软件：全部源码开放，可以自由使用，复制，修改，发布，它遵守GPL许可协议，可以运行于大多数的操作系统，ImageMagick的大多数功能的使用都来源于命令行工具。

---

题图来自pixabay

ImageMagick是一款广泛流行的图像处理软件，有无数的网站使用它来进行图像处理，但在本周二，ImageMagick披露出了一个严重的 0day漏洞，此漏洞允许攻击者通过上传恶意构造的图像文件，在目标服务器执行任意代码。Slack安全工程师Ryan Hube发现了这一0day漏洞。

如果你在网站中使用了ImageMagick去识别，裁剪或者调整用户上传的图像，你必须确认已经使用了这些缓解措施，并且调整你的代码只接受有效的图像文件，沙盒ImageMagick也是一个不错的主意。

在这个安全漏洞公布之后，这一漏洞的EXP也随即被发布，并被命名为：Imagetragick。漏洞的EXP已经通过邮件和论坛广泛传播，所以如果你使用了ImageMagick去处理用户输入，请立即采取相应的缓解措施。

ImageMagick被许多编程语言所支持，包括Perl，C++，PHP，Python和Ruby等，并被部署在数以百万计的网站，博客，社交媒体平台和流行的内容管理系统(CMS)，例如WordPress和Drupal。

该漏洞的利用十分简单，通过上传一个恶意图像到目标Web服务器上，攻击者就可以执行任意代码，窃取重要信息，用户帐户等

换句话说，只有采用了ImageMagick，且允许用户上传图像的网站，才会受到影响。
ImageMagick团队已经承认了此漏洞，称：
最近发布的漏洞报告……包含可能存在的远程代码执行。
虽然该团队还没有公布任何安全补丁，但它建议网站管理者应该在配置文件中添加几行代码去阻止攻击，至少在某些情况下可以防御。
Web管理员同时被建议在文件发送给ImageMagick处理前，检查文件的magic bytes。Magic bytes是一个文件的前几个字节，被用于识别图像类型，例如GIF，JPEG和PNG等。

为了让你更好地了解你将要面对的漏洞，下面提供一个可以瞒过ImageMagick的示例文件：

push graphic-context

viewbox 0 0 640 480

fill ‘url(https://example.com/image.jpg“|ls “-la)’

pop graphic-context

将其保存为任意的扩展名，例如expoit.jpg，然后通过ImageMagick去运行它
convert exploit.jpg out.png
是的，ImageMagick将会去执行嵌入的代码：ls -l命令。
将这条命令替换为其它的恶意命令，将会直接威胁到目标机器，不过你可能会触犯一些法律。
该漏洞将在ImageMagick 7.0.1-1和6.9.3-10版本中被修补，这些新版本预计将在周末前被公布。