<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hello,<div>I did some tests with several&nbsp;XSS&nbsp;dictionaries. AntiSamy actually passed well all of them.</div><div><br></div><div>OnsiteUrl and malformed html problems were found accidently.</div><div><br></div><div>IE comments problem was spotted when I ran AntiSamy with my search bot index.</div><div><br></div><div>Most of the dictionary examples are RegExp-oriented and AntiSamy is the new kind of XSS-preventions tools.</div><div>So, I guess, search index look-ups is probably the god direction to look into.</div><div><br></div><div>Thank you,</div><div>Serge</div><div><br></div><div><br></div><div><div>On Jun 12, 2008, at 11:27 PM, Arshan Dabirsiaghi wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div> <div id="idOWAReplyText86742" dir="ltr"> <div dir="ltr"><font face="Arial" color="#000000" size="2">We have not done any fuzzing. If you have a smart fuzzer and want to throw it at AntiSamy, that'd be really great. No one I know of has done anything similar.</font></div> <div dir="ltr"><font face="Arial" size="2"></font>&nbsp;</div> <div dir="ltr"><font face="Arial" size="2">Thanks,</font></div> <div dir="ltr"><font face="Arial" size="2">Arshan</font></div></div> <div dir="ltr"><br> <hr tabindex="-1"> <font face="Tahoma" size="2"><b>From:</b> <a href="mailto:owasp-antisamy-bounces@lists.owasp.org">owasp-antisamy-bounces@lists.owasp.org</a> on behalf of J Irving<br><b>Sent:</b> Thu 6/12/2008 3:23 PM<br><b>To:</b> <a href="mailto:owasp-antisamy@lists.owasp.org">owasp-antisamy@lists.owasp.org</a><br><b>Subject:</b> [Owasp-antisamy] testing question<br></font><br></div> <div><p><font size="2">Hello<br><br>I've been poking around the code, and I see there's a set of unit<br>tests which runs several known to be bad strings through AntiSamy.<br>Have you guys done any fuzzing?<br><br>The reason I mention this is that I spotted issue 12 in your tracker,<br>and it occurred to me that it would be interesting to find any other<br>similar errors or unexpected responses. It seems that the easiest way<br>to do this would be to throw lots of random text at it. If someone has<br>already done this work (or something similar) please respond.<br><br>Thanks.<br><br>&nbsp;&nbsp; cheers, J<br>_______________________________________________<br>Owasp-antisamy mailing list<br><a href="mailto:Owasp-antisamy@lists.owasp.org">Owasp-antisamy@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</a><br></font></p></div></div><!--[object_id=#aspectsecurity.com#]-->_______________________________________________<br>Owasp-antisamy mailing list<br><a href="mailto:Owasp-antisamy@lists.owasp.org">Owasp-antisamy@lists.owasp.org</a><br>https://lists.owasp.org/mailman/listinfo/owasp-antisamy<br></blockquote></div><br></body></html>