随着互联网的迅速发展,人们的很多事情都可以在网上完成,互联网已经融入到了人们的日常生活当中。各行各业中大量使用的Web应用程序,方便了人们使用的同时,也带来了一些安全问题,加强Web应用安全的防御有利于维护良好的网络环境。根据OWASP漏洞分类说明,XSS(Cross Site Scripting)长期位于各大漏洞排行榜的前十位。XSS攻击指攻击者将恶意脚本写入到Web应用当中,并最终在客户端浏览器中执行。攻击者可以利用XSS漏洞获取用户隐私信息甚至造成财产损失。针对这些问题,本文对XSS漏洞检测方法进行研究。本文针对XSS漏洞检测中为了降低漏报率,需要测试大量攻击载荷而导致检测效率低下的问题,改进了网页去重方法和XSS漏洞检测方法,设计了基于动态分析的XSS漏洞检测系统。整篇论文的具体工作内容如下:1.阐述了XSS漏洞检测的研究背景以及意义,介绍前人对XSS检测方法的研究现状。2.对现有的XSS检测技术和爬虫相关技术进行了研究,对XSS漏洞的分类、利用方式、检测技术和防御措施进行了详细分析,并介绍了爬虫的概念、类型和相关技术。3.对现有的网页去重方法进行深入的研究。根据XSS检测系统的特点,结合Bloom Filter,设计了一种改进的网页去重方法。除了对URL去重外,还提取Form表单中的特征值,根据特征值对测试点去重。4.研究了基于动态测试和AppScan(V8.6)中的XSS漏洞检测技术,在AppScan(V8.6)中检测方法的基础上进行改进。设计了载荷单元生成和组合方法,对载荷单元做预编码,引入抽象载荷单元,使用探针筛选载荷单元和绕过策略,结合载荷单元单独测试和组合测试两种方式,通过测试这些载荷单元实现对测试点的检测。5.使用上述改进的方法实现了基于动态分析的XSS漏洞检测系统,对关键的模块进行了详细的分析说明。使用不同的检测工具与本文方案做了对比实验,测试结果表明,本文设计的系统可以高效的对XSS漏洞进行检测。