24-07-2013, 07:10 PM
Recommandation OWASP: Whitelist, à privilégier de manière générale à tout système blacklist (qui est ce que tu proposes).
Car là, tu ne détecte que les objets, mais peut-être pourrait-on passer une fonction, ou un tableau récursif très lourd (je ne sais plus le nom de la technique... l'idée de base est de créer une instruction courte générant une quantité énorme de données, par exemple, créer une chaine de caractères de 4Go composés de la même lettre, "a" par exemple, et la compresser, ce qui en fait une commande très courte, qui crée une quantité énorme de données une fois dézippée).
Quelqu'un aurait-il les "spécifications" du format de données sérializées par PHP?
Car là, tu ne détecte que les objets, mais peut-être pourrait-on passer une fonction, ou un tableau récursif très lourd (je ne sais plus le nom de la technique... l'idée de base est de créer une instruction courte générant une quantité énorme de données, par exemple, créer une chaine de caractères de 4Go composés de la même lettre, "a" par exemple, et la compresser, ce qui en fait une commande très courte, qui crée une quantité énorme de données une fois dézippée).
Quelqu'un aurait-il les "spécifications" du format de données sérializées par PHP?