随着信息技术的快速发展,Web应用越来越广,互联网已经成为了涉及各个领域的开放性网络,使我们能够享受到科技带来的便利,我们的生活已经越来越离不开互联网。信息技术的应用极大地推动着人类社会的发展,把人类带进了一个新的信息时代。但与此同时,各种安全问题影响了正常服务的提供,我们可以看到近年来经常有安全问题的相关报导。如何快速且准确地检测Web应用程序中的安全问题成为了安全领域的研究热点之一。通过对Web应用程序进行安全扫描,发现存在的安全问题,并及时对其进行修补能降低Web系统的安全风险,这具有十分重要的实际意义。本文首先跟踪了Web应用安全研究的国内外现状,然后详细研究了常见Web应用安全漏洞,如SQL注入漏洞、XSS漏洞等的形成原因及其检测和预防方法。在前面研究的基础上设计和实现了一个操作简单、准确性高、扩展性好、更新及维护方便的Web应用安全漏洞检测系统。作为一个主动型的漏洞扫描系统,它有一个网络爬虫模块。本文对网络爬虫进行了改进,使其能抓取认证后才能访问到的页面,这增加了漏洞的检测面,减少了漏报率。该系统能通过对检测结果进行的分析后得到目标系统的安全状况的统计情况,并能把详细的安全问题以报告形式提供给用户。最后,本文制定了测试方案,对Web应用漏洞检测系统进行了测试,并对结果进行了分析,测试结果表明系统工作正常且能基本达到设计要求。本文结束时对已做的工作进行总结和将来的研究进行展望。