Аннотация:В работе рассмотрено понятие внешних сущностей в языке XML, приведены наиболее популярные сценарии выполнения атак на веб-приложения с использованием внешних сущностей XML. Выполнен краткий сравнительный обзор инструментальных средств динамического тестирования XXE-уязвимостей. Описан процесс развертывания стенда для тестирования веб-приложений на наличие XXE-уязвимости и реализованы различные сценарии тестирования как вручную, так и с применением сканера OWASP ZAP. Также приведены доработки ПО OWASP ZAP, которые были осуществлены в ходе выполнения работы. Тестирование XXE выполнено на двух приложениях: OWASP Multillidae и XXELab. Реализован модуль, позволяющий через REST API настроить ZAP, запустить сканер на активное сканирование XXE-уязвимостей и получить отчет о работе. Автоматизация поиска уязвимостей реализована с помощью REST API и Qt.