XML外部实体（XXE）注入

1.利用外部实体利用 XXE 漏洞检索文件
web应用有检查库存功能，劫取请求
发现目标网站接受xml类型

核心思路

于是修改xml内容，引入外部实体，返回设定的目录信息

获得结果

2.利用 XXE 进行 SSRF 攻击
库存检索功能，网站接受xml

修改xml，使得向一个url发送请求，可以逐层迭代，获得api密钥

得到一层地址
"Invalid product ID: latest"
以此类推，不断加码
获得结果