A08 - Insecure Deserialization (version sécurisée) - INF48 Sécurité des applications

✅ Correction : Les données sont désérialisées avec

unserialize($data,
['allowed_classes' => false])

: tout objet devient __PHP_Incomplete_Class et __wakeup() n'est jamais appelé. La section 2 montre l'alternative recommandée : un format sans état (JSON). ← Retour au TP

1. unserialize() restreint (allowed_classes => false)

Essayez le même payload que sur la version vulnérable : __wakeup() n'est pas appelé, et deser_marker.txt n'est pas modifié.

2. Alternative recommandée : JSON

json_decode() ne produit que des types simples (tableaux, chaînes, nombres...) : il n'existe aucune méthode magique à déclencher, quel que soit le contenu envoyé.