XSS Torture Test-存在しますか?
-
05-07-2019 - |
質問
html sanitiserを書きたいと思っていますが、明らかにそれが正しく動作することをテスト/証明するために、パフォーマンスを確認するためにそれに対抗するための一連のXSSサンプルが必要です。 コーディングホラーの素敵な例
<img src=""http://www.a.com/a.jpg<script type=text/javascript
src="http://1.2.3.4:81/xss.js">" /><<img
src=""http://www.a.com/a.jpg</script>"
MIME拷問テストがあることを知っています。 Mimeデコーダーのテストに使用される添付ファイル付きの電子メール(適切にデコードできれば、動作することが証明されています)。私は基本的にXSSに相当するもの、つまり、正常に動作することを確認するためにサニタイザーに投げかけることができる危険なhtmlの例のリストを探しています。
サニタイザーの作成方法に関する優れたリソース(つまり、人々が使用しようとする一般的な悪用など)があれば、彼らも感謝されます。
事前に感謝します:-)
編集:これが以前に明確でなかった場合は申し訳ありませんが、ブラウザなどでテストするのではなく、サニタイザーの単体テストを書くことができるように、一連の拷問テストを行った後です。ブラウザだけでなくどこからでも。
解決
このXSSチートリストをご覧ください: https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet
他のヒント
XSS Me は、実行可能な素晴らしいFirefoxプラグインです。消毒剤。
Jesse Rudermanのjsfunfuzz( http://www.squarefreeを試すことができます。 .com / 2007/08/02 / introducing-jsfunfuzz / )は、Javascriptでランダムデータを破壊しようとしています。 Firefoxチームはこれを大成功で使用しているようです。