为提高跨站脚本(XSS)漏洞动态检测方法的检测能力，提出一种基于FP-Growth算法构造攻击向量库并利用web测试工具进行检测的XSS漏洞动态检测方法。首先，建立基于FP-Growth算法的关联规则挖掘模型，利用模型挖掘大量XSS攻击实例间的关联规则，并以此为基础构造一个内含更多种类攻击向量的攻击向量库；其次，设计注入点匹配规则和攻击向量验证规则并实现基于Selenium的XSS漏洞检测模块SmartXSS,以适应加载攻击向量库实施检测。实验结果表明，基于实验环境所提方法通过发送正常请求实施XSS漏洞检测的检测率可达88.89%,相比Wapiti等同类工具提高了22.22个百分点。

• 单位
  信息工程大学