root@hacklab:~$
[]
ONLINE

XXE - Tricks

  • SSRF via XXE: Use entidades externas para forçar o parser a acessar URLs internas (file:///etc/passwd, http://localhost:8080/).
  • Exfiltração de Dados: Use http ou ftp em entidades para enviar dados para servidores externos.
  • DoS (Billion Laughs): Use entidades recursivas para causar negação de serviço.
  • File Upload + XXE: Faça upload de XML malicioso em sistemas que processam arquivos.