XSS Torture Test - существует ли это?

Я ищу написать html sanitiser, и, очевидно, чтобы проверить/доказать, что он работает правильно, мне нужен набор примеров XSS, чтобы подать против него, чтобы посмотреть, как он работает. Здесь хороший пример из Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

Я знаю там Mime Torture Test, который состоит из нескольких вложенных писем с вложениями, которые использовались для тестирования Mime-декодеров (если они могут правильно декодировать его, то они доказали свою эффективность). Я в основном ищу эквивалент для XSS, т.е. Список примеров изворотливого html, который я могу наложить на мой санитарий, чтобы убедиться, что он работает нормально.

Если у кого-то есть хорошие ресурсы на то, как писать санитор (например, какие обычные попытки использовать люди и т.д.), они тоже были бы благодарны.

Заранее спасибо: -)

Изменить: извините, если раньше это не было ясно, но я был после набора тестов на пытки, поэтому я могу писать модульные тесты для санитара, а не тестировать их в браузере и т.д. Возможно, исходные данные в теории из любого места - не только браузер.

Ответы

Ответ 2

XSS Me - отличный плагин для Firefox, который вы можете запустить против вашего дезинфицирующего средства.

Ответ 3

Проверьте OWASP. Они хорошо знают, как работает XSS, что искать и даже WebGoat, где вы можете попробовать свои силы на уязвимый сайт.

Ответ 4

Вы можете попробовать Jesse Ruderman jsfunfuzz (http://www.squarefree.com/2007/08/02/introducing-jsfunfuzz/), который бросает случайные данные на ваш Javascript, пытаясь его сломать. Кажется, команда Firefox использовала это с большим успехом.

Ответ 5

Я знаю Yahoo! (Я думаю, что Rasmus Lerdorf написал это) была утилита для приложений стресс-тестирования (XSS, SQL и многое другое). Я думаю, что он был выпущен, а затем отступил, увидев, что я не смог его найти.