debe revisar OWASP ya que se relaciona directamente con su presentación. Específicamente para responder a su pregunta, debe revisar el proyecto de OWASP WebGoat: es una aplicación web deliberadamente insegura diseñada para enseñar la seguridad de la aplicación web. (Y contiene vulnerabilidades XSS, entre muchas otras) Puedes descargarlo desde aquí: enlace
Además, no es difícil demostrar una vulnerabilidad XSS si tiene conocimientos básicos de programación. (PHP, ASP, Python). Cree una página que solicite entrada, pídale que publique en una segunda página que tome esa entrada y la muestre nuevamente en la página. En PHP sería algo como esto:
index.php:
<?
if ( isset($_POST["posted"])) {
$name = $_POST["name"];
}
?>
<html>
<body>
<? if (isset($name)) {
echo "Hello, <b>" . $name . "</b>";
?>
<form action="index.php" method="post">
<input type="text" name="name" value="">
<input type="hidden" name="posted" value="1">
<input type="submit" name="Submit" value="Submit">
</form>
</body>
</html>