Сценарий: веб-сервис принимает бинарный объект (pickle/unsafe JSON), десериализует и сразу вызывает метод process() у полученного объекта. Пользователь может загрузить произвольный байтстрим.
❓ Что наиболее правдоподобно может произойти, если загрузить специально-сформированный объект? Голосуйте эмодзи:
🔥 — RCE: выполнить произвольный код на сервере (pickle позволяет инвокировать конструкторы/функции).
👾 — Эскалация привилегий: объект вызовет внутренний метод, открывающий админ-функции.
❤️ — DoS: CV-памяти/CPU через рекурсивные/тяжёлые объекты.
👍 — Утечка данных: объект инициирует исходящие запросы (exfiltration) и вернёт конфиденциальные данные.
Сценарий: веб-сервис принимает бинарный объект (pickle/unsafe JSON), десериализует и сразу вызывает метод process() у полученного объекта. Пользователь может загрузить произвольный байтстрим.
❓ Что наиболее правдоподобно может произойти, если загрузить специально-сформированный объект? Голосуйте эмодзи:
🔥 — RCE: выполнить произвольный код на сервере (pickle позволяет инвокировать конструкторы/функции).
👾 — Эскалация привилегий: объект вызовет внутренний метод, открывающий админ-функции.
❤️ — DoS: CV-памяти/CPU через рекурсивные/тяжёлые объекты.
👍 — Утечка данных: объект инициирует исходящие запросы (exfiltration) и вернёт конфиденциальные данные.
On June 7, Perekopsky met with Brazilian President Jair Bolsonaro, an avid user of the platform. According to the firm's VP, the main subject of the meeting was "freedom of expression." The optimal dimension of the avatar on Telegram is 512px by 512px, and it’s recommended to use PNG format to deliver an unpixelated avatar. Public channels are public to the internet, regardless of whether or not they are subscribed. A public channel is displayed in search results and has a short address (link). Hashtags are a fast way to find the correct information on social media. To put your content out there, be sure to add hashtags to each post. We have two intelligent tips to give you: 3How to create a Telegram channel?
from us
