dovresti controllare OWASP poiché si riferisce direttamente alla tua presentazione. In particolare per rispondere alla tua domanda, dovresti verificare che il progetto OWASP WebGoat è un'applicazione Web volutamente non sicura progettata per insegnare la sicurezza delle app Web. (E contiene XSS Vulns, tra molti altri) Puoi scaricarlo da qui: link
Inoltre, non è difficile dimostrare una vulnerabilità XSS se si dispone di conoscenze di programmazione di base. (PHP, ASP, Python). Crea una pagina che richiede un input, fallo pubblicare su una seconda pagina che prende quell'input e lo visualizza nuovamente sulla pagina. In PHP sarebbe qualcosa del genere:
index.php:
<?
if ( isset($_POST["posted"])) {
$name = $_POST["name"];
}
?>
<html>
<body>
<? if (isset($name)) {
echo "Hello, <b>" . $name . "</b>";
?>
<form action="index.php" method="post">
<input type="text" name="name" value="">
<input type="hidden" name="posted" value="1">
<input type="submit" name="Submit" value="Submit">
</form>
</body>
</html>