Test tortur XSS - czy istnieje?

Chcę napisać program do dezynfekcji html i oczywiście, aby przetestować / udowodnić, że działa poprawnie, potrzebuję zestawu przykładów XSS, aby zobaczyć, jak działa. Oto ładny przykład z Coding Horror 

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

Wiem, że istnieje Test tortur Mime , który składa się z kilku zagnieżdżonych wiadomości e-mail z załącznikami, które są używane do testowania dekoderów Mime (jeśli potrafią je poprawnie dekodować, udowodniono, że działają). Szukam equivilenta do XSS, tj. lista przykładów podejrzanych html, które mogę rzucić na mój środek dezynfekujący tylko po to, aby upewnić się, że Działa OK.

Jeśli ktoś ma również jakieś dobre zasoby na temat tego, jak napisać dezynfekcję (tj. jakie typowe exploity ludzie próbują używać, itp.), również zostanie z wdzięcznością przyjęty.

Z góry dzięki: -)

Edit: Sorry jeśli wcześniej nie było to jasne, ale byłem po zestawie testów tortur, więc mogę pisać testy jednostkowe dla dezynfekcji, a nie testować w przeglądarce itp. Dane źródłowe w teorii mogą pochodzą z dowolnego miejsca - nie tylko przeglądarki.

Author: JamShady, 2008-11-01
Source

4 answers

 18
Author: RealHowTo,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-12-22 00:46:09

XSS Me to świetna wtyczka do Firefoksa, którą możesz uruchomić na swoim sanitizer.

 7
Author: Maxam,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-01 16:38:09

Sprawdź OWASP . Mają dobre wskazówki, jak działa XSS, czego szukać, a nawet projekt WebGoat , w którym możesz spróbować swoich sił na wrażliwej stronie.

 2
Author: erickson,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-01 16:33:37

Możesz spróbować Jsfunfuzz Jessego Rudermana ( http://www.squarefree.com/2007/08/02/introducing-jsfunfuzz/), który rzuca losowe DANE w twój Javascript próbując go złamać. Wygląda na to, że zespół Firefoksa wykorzystał to z wielkim sukcesem.

 2
Author: Eric Wendelin,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-01 16:37:20