Знакомые тебе форматы Microsoft Office: docx, xlsx, это zip архив, содержащий данные в виде XML (они так и называются - Office Open XML и подобны OpenDocument Format). А это значит, что если сайт обрабатывает (парсит, конвентирует) подобные файлы - есть вероятность атаки XXE (https://xakep.ru/2012/12/11/xml-apps-attacks-manual/), как следствие, чтение произвольных файлов, SSRF, DoS, в идеале - выполнение произвольного кода.
Если веб-приложение пытается работать с метаданными в изображении (jpg, png, gif, да-да), такими как XMP - то можно попробовать выполнить атаку с помощью них! Чего уж говорить об изображении формата SVG (это вообще XML в чистом виде)!
Так вот, для экспериментов есть отличная тулза, которая позволяет сгенерировать документы и картинки с подобной полезной нагрузкой.
https://github.com/BuffaloWill/oxml_xxe
Если веб-приложение пытается работать с метаданными в изображении (jpg, png, gif, да-да), такими как XMP - то можно попробовать выполнить атаку с помощью них! Чего уж говорить об изображении формата SVG (это вообще XML в чистом виде)!
Так вот, для экспериментов есть отличная тулза, которая позволяет сгенерировать документы и картинки с подобной полезной нагрузкой.
https://github.com/BuffaloWill/oxml_xxe