随着Web技术的不断发展,Web应用程序以丰富的功能和强大的交互性等优点越来越受人们的青睐,随之而来针对它的攻击数量也日益剧增。其中,XSS攻击是Web应用程序中数量最多的攻击手段之一。攻击者通过向Web应用程序的输入点注入恶意脚本代码来欺骗用户浏览器执行,从而达到窃取用户私密信息的目的。如何高效地检测Web应用程序中存在的XSS漏洞,成为了当前安全漏洞检测的研究热点。现有的XSS漏洞检测方法主要有静态检测、动态检测,以及静动态结合检测这三种,但它们都不够完善,存在着需要程序源码、漏报率高、误报率高以及检测效率低等缺点。因此,提出了一种新的基于动态分析的漏洞检测方法,该方法主要分为三个模块:攻击向量库、合法向量测试、攻击向量测试。攻击向量库用来存储攻击向量,为攻击向量检测提供测试数据;合法向量测试是为了确定Web应用程序中可能存在XSS漏洞的输入矢量和相应的输出矢量;攻击向量测试是用攻击向量发送攻击请求,进行XSS漏洞测试。具体来说,利用基于规则排序的攻击向量生成方法来生成用于攻击向量测试的测试数据,这种生成方式更具针对性,能够减少与服务器交互的次数,检测效率高;利用基于子序列匹配的漏洞检测方法来匹配测试数据,达到XSS漏洞检测的目的,这种匹配方式更准确,降低了漏报率。实验结果表明,提出的漏洞检测方法在现实世界中能有效地检测Web应用程序中的XSS漏洞,并且效率高、误报率和漏报率低。