Лучший способ протестировать XSS - использовать специализированный инструмент для тестирования этих типов уязвимостей. Wapiti и w3af являются хорошими инструментами с открытым исходным кодом, которые могут тестировать на XSS, SQL-инъекцию и худшие уязвимости. Acunetix прост в использовании, но стоит дорого, однако бесплатная версия будет тестировать только на XSS, что вам нужно:
http://www.acunetix.com/cross-site-scripting/scanner.htm
Я полагаю, что под "противодействием подделке" вы имеете в виду систему защиты XSRF. Я не верю, что автоматизированный тест может быть создан против XSRF. XSRF не имеет абсолютно никакого отношения к типу данных, отправляемых в запросе, а скорее к тому, откуда он поступает. Инструменты были написаны для тестирования XSRF, и у w3af есть один из этих тестов. Однако каждый автоматический тест XSRF, который я видел, ПОЛНОСТЬЮ НЕ СТОИТ. Если вы хотите, чтобы тест XSRF был выполнен правильно, вы должны сделать это самостоятельно:
http://www.owasp.org/index.php/Testing_for_CSRF_%28OWASP-SM-005%29