Web安全漏洞是当今互联网中范围最广、出现频率最高的漏洞。Web漏洞其危害小到网页挂马、恶意弹窗,大到盗取用户信息与权限、破坏硬盘系统、远程控制服务器。在OWASP（Open Web Application Security Project）提供的各类Web应用漏洞中,跨站脚本漏洞xss（Cross Site Scripting）一直是最普遍、覆盖范围最广的攻击方式。而现如今市面上出现许多针对Web漏洞的扫描器存在扫描效率不高、检测精确率不高、Web网站误扫漏扫等问题。本文设计一个存储型xss漏洞检测系统并划分了2个模块来进行分析研究:Web爬虫模块:该模块设计出一种由主副进程控制的协程异步爬虫。主进程负责爬虫通过HTTP协议向服务器发送请求,解析响应,获取信息的工作。副进程负责获取信息的去重处理,本文改进了传统单一去重方式提出一种基于URL与文本混合去重方案。在URL去重中使用布隆过滤器,文本去重中改进了传统Simhash算法,提出一种基于TF-BM25-IWF的Simhash算法。结果显示:该模块使用的爬虫不仅爬取速度很快,改进的混合去重算法的精确率、召回率也比传统爬虫高。基于自动生成存储型xss攻击代码漏洞检测模块:该模块总结出存储型xss漏洞的检测思路,并针对xss漏洞检测中涉及到的xss攻击代码,提出一种基于自动生成存储型xss攻击代码漏洞检测模块的研究。该研究分为两部分:1原始攻击代码的生成与选取,优化原始攻击代码自动生成方案。2变异攻击代码的生成与选取,提出一种模块化的变异攻击代码自动生成方案。结果显示该模块成功自动生成174个原始攻击代码,其变异攻击代码可以实现对Web网站xss的漏洞攻击。爬虫模块负责爬取目标网站全站的网页链接并进行去重处理,漏洞检测模块负责对已经去重后的网页进行存储型xss漏洞渗透测试,两个模块结合使用不仅便于后期维护工作,还可以实现对目标网站全站网页的存储型xss漏洞检测。对存储型xss漏洞检测系统做性能测试和对比试验,结果显示:本文设计的系统可以实现对Web应用中存储型xss漏洞的检测,与其他漏洞检测工具比,不仅缩短了存储型xss漏洞的检测时间,还使漏扫误扫的网站数量更少,精确率略高。