Исходное сообщение
"Zend Framework перешёл под крыло организации Linux Foundatio..." Отправлено KonstantinB, 18-Апр-19 13:53
На самом деле, проблема не в phar, а в unserialize. Phar это еще один извращенный способ эксплуатировать unserialize magic. Java Deserialization Vulnerability имеет ровно ту же природу. Сама по себе универсальная (де)сериализация, позволяющая создать объект любого класса (и триггернуть все связанные с этим сайд эффекты) - так себе идея.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> На самом деле, проблема не в phar, а в unserialize. Phar это > еще один извращенный способ эксплуатировать unserialize magic. Java Deserialization Vulnerability > имеет ровно ту же природу. Сама по себе универсальная (де)сериализация, позволяющая > создать объект любого класса (и триггернуть все связанные с этим сайд > эффекты) - так себе идея.
	Введите код, изображенный на картинке: