Аннотация:Объектом исследования является веб-приложение онлайн-платежей компании «Payture», которая сотрудничает с крупными компаниями и банками. Компании «Payture» выступает в качестве платежного шлюза между ТСП, банками и платежными системами, предлагая гибкое интеграционное API. В работе анализируются способы тестирования веб-приложения онлайн-платежей «Payture» на наличие известных векторов атак межсайтового скриптинга. Определяется рекомендуемый список мер защиты как для данного приложения, так и для аналогичных приложений. Рассмотрены типы XSS-атак, что позволяет спроектировать проведение атаки и проанализировать элементы веб-приложения, в которых могут быть скрыты XSS-уязвимости. Описываются бесплатные и коммерческие программные продукты, которые позволяет производить комплексный или частичный анализ веб-приложений на предмет наличия XSS-уязвимостей. Рассматриваются основные возможности API компании «Payture», определяется последовательность действий для поиска XSS-уязвимостей. Сделаны предложения по совместному использованию нескольких инструментов анализа XSS-уязвимостей в веб-приложениях.