XSS Torture Test - существует ли он?
-
05-07-2019 - |
Вопрос
Я хочу написать html sanitiser и, очевидно, чтобы проверить / доказать, что он работает должным образом, мне нужен набор примеров XSS, чтобы проверить, как он работает. Вот хороший пример из Coding Horror
<img src=""http://www.a.com/a.jpg<script type=text/javascript
src="http://1.2.3.4:81/xss.js">" /><<img
src=""http://www.a.com/a.jpg</script>"
Я знаю, что есть тест на пытки мимом , который состоит из нескольких вложенных электронные письма с вложениями, которые используются для тестирования Mime-декодеров (если они могут правильно его декодировать, значит, они доказали свою работоспособность). Я в основном ищу эквивалент для XSS, то есть список примеров хитрого html, который я могу бросить в мой дезинфектор, просто чтобы убедиться, что он работает нормально.
Если у кого-то также есть хорошие ресурсы о том, как написать дезинфицирующее средство (т. е. какие обычные подвиги пытаются использовать люди и т. д.), они также будут с благодарностью приняты.
Заранее спасибо: -)
Изменить: Извините, если раньше это было неясно, но я был после серии тестов на пытки, поэтому я мог написать модульные тесты для дезинфицирующего средства, а не тестировать их в браузере и т. д. Теоретически исходные данные могли прийти откуда угодно - не просто браузер.
Решение
Взгляните на этот чит-лист XSS: https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet р>
Другие советы
XSS Me - отличный плагин для Firefox, с которым можно работать ваше дезинфицирующее средство.
Вы можете попробовать jsfunfuzz Джесси Рудермана ( http: //www.squarefree .com / 2007/08/02 / introduction-jsfunfuzz / ), который выбрасывает случайные данные в ваш Javascript, пытаясь их сломать. Кажется, команда Firefox использовала это с большим успехом.