摘要：伴随着B／S架构的流行和Web2．0时代的迅速发展，由于对不可信用户数据缺乏正确的校验机制，造成跨站脚本漏洞广泛地存在于各类网站中，并严重威胁用户安全。其主要原因在于服务端代码和客户端脚本的混合，使得当前技术无法准确而有效地生成攻击向量，探测跨站脚本漏洞。本文基于静态数据流特征分析，依据脚本注入位置和攻击向量模式设计了新的分析模糊器，通过采用字符串约束求解技术来验证攻击向量的有效性，并实现了白盒测试框架的原型系统XSS—Explore。实验结果表明，与同类工具相比，该系统能够较全面而准确地检测跨站脚本漏洞。

关键词：web安全 跨站脚本漏洞 静态分析 模糊器 白盒测试 

单位：福州大学数学与计算机科学学院 福建福州350002