Test di tortura XSS - esiste?

Question

Sto cercando di scrivere un disinfettante html e ovviamente per testare / dimostrare che funziona correttamente, ho bisogno di una serie di esempi XSS per confrontarci per vedere come si comporta. Ecco un un bell'esempio di Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

So che esiste un Mime Torture Test che comprende diversi nidificati e-mail con allegati utilizzati per testare i decodificatori Mime (se riescono a decodificarlo correttamente, è stato dimostrato che funzionano). Sto fondamentalmente cercando un equivalente per XSS, ovvero un elenco di esempi di HTML ingannevole che posso gettare sul mio igienizzante solo per assicurarmi che funzioni bene.

Se qualcuno ha anche delle buone risorse su come scrivere il disinfettante (ovvero quali exploit comuni le persone cercano di usare, ecc.) verrebbero anche ricevuti con gratitudine.

Grazie in anticipo :-)

Modifica: mi dispiace se non è stato chiarito prima, ma ero dopo una serie di test di tortura in modo da poter scrivere test unitari per il disinfettante, non testarlo nel browser, ecc. I dati di origine in teoria potrebbero essere arrivati da qualsiasi luogo, non solo un browser.

Answer 1

Dai un'occhiata a questo XSS Cheat List: https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet

Answer 2

XSS Me è un ottimo plugin per Firefox su cui puoi scappare il tuo disinfettante.

Answer 3

Guarda OWASP . Hanno una buona guida su come funziona XSS, cosa cercare e persino WebGoat progetto, in cui puoi cimentarti in un sito vulnerabile.

Answer 4

Potresti provare jsfunfuzz di Jesse Ruderman ( http: //www.squarefree .com / 2007/08/02 / introducing-jsfunfuzz / ) che genera dati casuali sul tuo Javascript cercando di romperli. Sembra che il team di Firefox l'abbia usato con grande successo.