⚠ Attention : Les données envoyées sont passées directement à unserialize(), sans
aucune restriction de classe. Un objet MaliciousPayload sérialisé déclenche
automatiquement sa méthode magique __wakeup(). Pour rester sans danger, celle-ci
écrit un fichier marqueur au lieu d'exécuter une commande système. Code intentionnellement
vulnérable - usage pédagogique en environnement local uniquement.
← Retour au TP
Le payload pré-rempli correspond à
serialize(new MaliciousPayload('rm -rf / # ...')).