Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Python – язык программирования. Модуль Python Pickle используется для преобразования объектных переменных в “serialized form”(“pickling”), и позже возвращая данные назад в объектную структуру ("unpickling"). Если
пользователь передаст специально обработанные злонамеренные
"unpickled" данные, то он может заставить Python
выполнить произвольные команды, включая системные вызовы.
Это может быть реализовано через
определение доступной функции, как конструктора класса. Степень опасности уязвимости сильно зависит от определенного Python приложения, которое принимает “pickle” строку от не доверенного источника.
Уязвима Python Software Foundation Python 1.5.2-2.1.3.
