随着web2.0技术的快速发展和互联网行业的普及化,web应用程序存在的安全漏洞问题也引起了广泛关注。跨站脚本漏洞是近些年来的研究热点,传统的XSS漏洞检测方式主要是基于单一的污点分析或者遗传算法等检测技术,容易造成用户数据的泄漏,检测效率低。因此,本文基于反射型XSS漏洞的研究现状和特点,抛开单一的研究技术,结合已有的理论和方法对XSS漏洞检测技术进行改进,利用污点分析和模糊测试技术相结合的方式展开了反射型跨站脚本XSS漏洞的检测和研究。本文主要工作内容如下:(1)对污点数据源和传播路径进行静态方法分析数据,具体是静态代码审计分析网页源代码,使污染数据源所在的区域范围进一步缩小,使污染传播的分析过程更高效。(2)进行污点分析的漏洞利用检测过程,根据三方面问题展开,首先是标记污染数据源,然后是污染数据传播,最后是检测污染数据净化。(3)利用网页爬虫技术分析目标站点并对网页链接进行迭代爬取,直到页面中所有链接被爬取成功。以便获取可能存在的漏洞注入点,为了验证网页是否存在过滤器拦截,进行WAF检测,查看是否存在可防御的设备。(4)以WAF检测结果为依据,使用模糊测试技术生成漏洞检测的测试用例,并对测试用例采用‘变异’方式进行模糊变形,衍生变异出新的测试样例,同时查看模糊数据是否有效,测试样例的实际检测效果,迭代数次后,通过模糊测试的检测效率会有所提升。本文通过以上的方法和理论知识,突破了传统反射型XSS漏洞检测方法的局限性。在缩小漏洞检测范围的同时基于模糊测试技术进行自动化漏洞检测,实验结果表明,此方法提升了漏洞检测水平,提高了检测效率,方法可行性高。