Buenas! Estuve leyendo sobre los problemas que traia unzerializar datos que provienen del usuario en php, ya que  se podría mandar un objeto serializado con la intención de que se ejecuten automáticamente los métodos mágicos definidos para el objeto creado, y si dentro de los métodos mágicos existe otro tipo de vulnerabilidad como sql injection, code execution, rfi, etc, podrían ser triggereados gracias a éste objeto serializado que se le manda.

Estuve practicando con algunos ejercicios pero siempre con el código fuente a la vista. Ustedes creen que es posible aprovechar éste tipo de vulenrabilidad a ciegas? Es decir, sin tener acceso al código fuente? Según mi conclusión éste tipo de cosas solo se puede explotar bien en CMSs (como Joomla!), ya que el código es accesible, o si ocurren cosas especiales como que haya copias de respaldo en texto plano de las paginas del servidor en cuestion, pero sin el fuente lo imagino imposible, ustedes que piensan?

Saludos