Retour à la liste des mises en situation.
La vulnérabilité XXE (XML eXternal Entities) consiste à exploiter une mauvaise configuration système dans l'utilisation de fichiers XML.
Une entité (par exemple un fichier) peut être intégré au fichier XML vulnérable de façon à pouvoir y lire son contenu.
Imaginons le fichier XML ci-dessous. Essayez d'ajouter le texte "<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>" à la deuxième ligne puis changez "123" par la référence "&xxe;" et enfin cliquez sur 'Envoyer'
Explications et contre-mesures
Il ne faut pas permettre l'inclusion de fichier externe dans un code XML.
Cela passe par une sécurisation du côté serveur en excluant explicitement toute donnée étrangère.