Hay una gran lista de vectores XSS disponibles aquí: enlace , pero no ha cambiado mucho últimamente (por ejemplo, La última versión FF mencionada es 2.0).
¿Hay alguna otra lista tan buena como esta, pero actualizada?
El mejor nuevo que he visto recientemente está aquí enlace . Se ha encontrado una buena lista de vectores con soporte para el navegador y tiene algunos de los más. Los oscuros.
Si realmente quieres comprender XSS, te recomiendo encarecidamente la hoja de trucos Prevención de OWASP. No está enfocado en la piratería, está enfocado en ayudar a los desarrolladores a prevenir estos problemas en primer lugar. enlace
fuzzdb ayuda a identificar fallas de seguridad en las aplicaciones al agregar patrones de ataque conocidos, nombres de recursos predecibles y mensajes de respuesta del servidor para crear un conjunto completo y repetible de casos de prueba de entrada mal formados.
fuzzdb tiene una gran lista de cargas útiles de ataque.
El cheatsheat XSS de RSnake (al que está vinculado) sigue siendo el recurso definitivo, e incluso se menciona en la guía de codificación segura de OWASP (que a su vez hace referencia PCI: DSS).
Es cierto que, dado que RSnake está retrocediendo un paso, eso podría cambiar, pero a partir de ahora ese es el lugar para ir.
ACTUALIZACIÓN : RSnake se retiró oficialmente de los blogs, y declaró que No haré ninguna actualización. Entonces, mientras que esto puede haber estado actualizado hasta el mes pasado, aparentemente ya no lo está.
Lea otras preguntas en las etiquetas attacks appsec penetration-test xss