✅ English Tag:

#xxe #xml_external_entity #file_disclosure #ssrf #rce #injection

🧠 Bangla Explanation:

XXE (XML External Entity) কী?

XXE হল একটি web security vulnerability যা XML input প্রসেসিং এর সময় হয়। যখন কোনো web application XML data parse করে কিন্তু external entities disable করা থাকে না, তখন attacker malicious XML payload দিয়ে server এর internal files পড়তে পারে, SSRF attack করতে পারে, এমনকি RCE পর্যন্ত করতে পারে।

কিভাবে কাজ করে?

1. XML Parser: Application XML data receive করে এবং parse করে
2. External Entity: XML এ external entity define করা যায় যা external resources point করে
3. Malicious Payload: Attacker এমন XML পাঠায় যাতে external entity থাকে যা server এর local files বা internal networks point করে
4. Data Exposure: Parser এই entity resolve করে এবং sensitive data expose হয়

কী ধরনের ক্ষতি হতে পারে?

• File Disclosure: Server এর sensitive files (passwd, config files) পড়া
• SSRF: Internal network বা services এ request পাঠানো
• DoS: Billion Laughs attack দিয়ে server crash করানো
• RCE: কিছু ক্ষেত্রে remote code execution

🔍 How to Know This Vulnerability Exists:

কোন input field/parameter এর উপর ফোকাস করতে হবে:

• XML upload functionality
• SOAP web services
• REST APIs যা XML accept করে