# XXE
Traducción del inglés-El ataque de entidad externa XML, o simplemente ataque XXE, es un tipo de ataque contra una aplicación que analiza la entrada XML. Este ataque se produce cuando un analizador XML débilmente configurado procesa la entrada XML que contiene una referencia a una entidad externa.
Bueno tenemos montado una web con docker ahora mismo no recuerdo cual era la URL del proyecto, pero bueno aca nos registramos y interceptamos la peticion con BurpSuite
Con la peticion interceptada podemos ver informacion adicional una estructura en XML.
Si manipulamos la peticion.
* Y como punto numero uno creamos una nueva entidad debajo de la primera estructura y en el parametro email la llamamos observamos que nos interpreta lo que le estamos pasando cm cadena que seria el nombre rodgar.
* Ahora como ya sabemos que interpreta como punto uno a la entidad la decimos que queremos leer el /etc/passwd de la maquina.
* Observamos en el punto tres que nos interpreta y nos volca el contenido del /etc/passwd.
Estas son muy simples pero hay sitios que no te permite crear nuevas entidades tonces como manejamos eso, lo veremos pronto.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://rodgar.gitbook.io/rodgar/othe/owasp-top-10/xxe.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.