随着移动互联网的快速发展以及移动终端的日益智能化，人们趋向于便捷而快速的移动应用，但移动应用的账号窃取和密码丢失等安全问题不容忽视，因此研究移动互联网web应用的安全问题尤为重要。本文对现有的渗透测试模型进行研究和分析，针对现有测试模型不适用于移动互联网环境下移动终端及移动web应用漏洞检测的问题，首先提出了一种基于攻击树的移动互联网web应用测试模型，给出了终端安全和web应用安全两种攻击树模型，分别对这两个模型进行形式化分析研究，并给出了简单的攻击树算法以证明基于攻击树模型的有效性。其次论文基于上述模型设计并实现了一个移动互联网web应用渗透测试系统，该系统主要包括以下功能模块：移动终端安全漏洞检测模块、web安全漏洞发现模块、渗透测试模块、渗透测试用例库、渗透测试工具库。这些功能模块分别对各自所涉及的内容进行了分类管理，并借助于自动化渗透测试工具进行渗透测试。最后应用该移动互联网web应用渗透测试系统，对手机银行业务中所涉及的移动终端及web应用进行实际测试，并对测试结果进行了分析。