我正在嘗試在我正在處理的項目中選擇幾個不同的HTML分析器,其中一部分接受來自客戶端的HTML輸入。單元測試HTML解析器/清理器?
我已經爲每個構建了一個簡單的自動化測試,以查看它們是否符合我的需求。我有大量的真實HTML片段要測試,但它們不足以用於安全測試,因爲它們(可能)不包含任何惡意代碼。
我不介意手動審查輸出。
我的問題是,是否有免費的數據庫或包含格式錯誤的HTML和用於測試XSS的腳本的HTML代碼片段列表?
的ha.ckers XSS cheatsheet是非常全面的,並且是催化劑,我建立一個基於sanitiser到jsoup白名單。
我爲此建立了html-sanitizer-testbed。它由兩部分組成:
一套測試,旨在檢查HTML衛生殺傷人員的安全性。我收集了我能找到的每一個棘手的案例。它包括ha.ckers.org XSS cheatsheet上的所有內容,以及多年來我收集的許多其他測試案例。多年來,我分析了數十種HTML清理程序(其中大多數都是易受攻擊的),併爲我遇到的每個安全漏洞都添加了一個測試用例,所以這是一個非常不錯的集合。
此外,它提供了一些測試自動化功能,因此您不需要手動查看輸出:您可以啓動瀏覽器並檢查瀏覽器是否似乎在輸出中執行了任何Javascript消毒劑(在這種情況下,消毒劑被破壞)。這部分不是100%可靠的,並且沒有任何保證,所以爲了達到最大效果,您可能需要手動查看輸出。不過,到目前爲止,它對我來說工作得很好。
我歡迎反饋意見和貢獻。
使用Google主頁是不夠的。我有很多可以測試的真實世界案例,但是我正在尋找非常格式不正確或包含惡意代碼的HTML片段,以查看解析器是否正確地忽略它們。 – GeReV 2010-07-15 08:03:30