随着API的广泛应用,API漏洞已成为Web应用程序安全的重要问题之一。传统的API漏洞检测方法主要采用静态检测或动态检测的方法,这些方法有一定的局限性,不能完全覆盖API漏洞。对漏洞结果进行分类时,传统的漏洞分类方法会造成重复信息冗余和检测信息缺失。本文提出了一种API漏洞检测思路,将开源漏洞工具检测结果与一种基于三维树的漏洞分类模型进行融合,对检测结果进行分类,以提高API漏洞的检测效率和准确性。论文主要完成以下工作:（1）研究了目前较为流行的漏洞分类方法和动静结合漏洞检测方法,对已有的漏洞分类方法和开源的动静结合检测工具检测规则总结了可能改进的研究点,并提出了一种改进思路。（2）在漏洞的分类方法上,本文基于传统的单一维度的漏洞分类方法结合三维树思想提出了应用于API漏洞的漏洞分类方法,并将新漏洞分类法得出的漏洞类型与传统的漏洞分类库如CWE和Fortify进行兼容性验证,实例证明本文提出的分类方法能够兼容传统漏洞库中的部分API漏洞且分类结果更加精确和详细。（3）在漏洞检测规则上,本文基于开源的DAST漏洞检测工具OWASP ZAP提出了基于静态代码检测的除零漏洞、指针相减漏洞和对指针使用sizeof（）漏洞三种漏洞的检测规则,用以检测OWASP ZAP工具不易检测的漏洞类型,实验证明新建规则与OWASP ZAP自带的其他漏洞检测规则相比检测能力相当。本文提出的方法可以检测并分类API中的漏洞,准确率达到了一般规则设计标准。根据其检测结果可以提高漏洞检测的范围和漏洞修复的效率。因此,本文提出的API漏洞检测方法对API漏洞检测发展有一定的效果。