Saltar al contenido principal

XXE (XML External Entity)

Parser XML que resuelve entidades externas.

Categoría: Web · Vectores avanzados 🎯 Trinchera — Parser XML que resuelve entidades externas. Defines una entidad apuntando a file:///etc/passwd o a una URL interna y el parser te devuelve el contenido en la respuesta. 🔗 Kill chain — De XXE a: lectura de archivos (SYSTEM "file:///etc/shadow"), SSRF (SYSTEM "http://internal-api/"), RCE en parsers viejos (PHP expect://), Billion Laughs DoS, exfil out-of-band vía DNS/HTTP con XXE blind. 📡 Huella defensiva — Logs del parser cargando DTDs externas; DNS queries hacia dominios atacante; tráfico saliente del parser. ⚠️ Falso amigo — Parser parcheado para entidades pero no para parameter entities (%xxe;). Probar XXE blind con <!ENTITY % …>. 🛡️ Remediación — Deshabilitar entidades externas en cada parser: Java (XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES=false), PHP (libxml_disable_entity_loader(true) en versiones <8), Python (defusedxml).

Volver al glosario completo Última actualización: 2026-06-11