XSS, как сэмулировать запрос на сервер?

Question

[Isaac Clark]

Здравствуйте, подскажите пожалуйста.
Хочу проверить сайт на устойчивость от xss атак. Для этого в поле формы,а так же в value самого инпута:
<img src=x onerror=alert(17)>
Сейчас у меня браузер, при нажатии на сабмит, заменяет > на &.
Вопросы:

1. как сэмулировать запрос так, чтоб браузер не экранировал/заменял символы
   
2. каким именно образом можно отправить запрос на сервер? сэмулировать нажатие кнопки сабмит?
   
3. я слышал, но не видел, что есть способы кодирования javascript, то есть программа кодирует к примеру строку , которая затем вставляется в поле формы и javascript не может распознать в ней скрипт, но при этом он(скрипт) отрабатывает в браузере, кто знает, дайте пожалуйста ссылку на подобные программы.
   

Спасибо за помощь и ваше время.

Answer 1

[Гоша Манн]

Посмотрите в консоли запрос и, если спецсимволы экранируются на клиенте, в чем я сомневаюсь, то можно отправить запрос через REST клиент.

Comments

[Isaac Clark]

а можно пример, а то я не совсем понимаю? если символы не экранируются, то как мне отправить запрос?

Answer 2

[IceJOKER]

По-моему вы не этого хотите - "Хочу проверить сайт на устойчивость от xss атак", а узнать как атаковать чужой сайт!
Если вы действительно волнуетесь за безопасность своего ресурса, то просто экранируйте htm код и XSS вас не побеспокоит

Comments

[Isaac Clark]

никого я не собираюсь атаковать. Если не знаете, что написать, то зачем наезжать? Просто пропусти вопрос.

[IceJOKER]

Isaac Clark: ну да, так и поверил. Нахрена вам что-то сэмулировать, когда можно просто экранировать html и все, волноваться об этом не нужно. Либо удаляете html теги, тогда тем более волноваться не нужно