web应用作为Internet上使用最广泛的服务，由于大部分网站开发人员并非专业的安全技术人员以及其他外部因素，很多web站点成为攻击者攻击的主要对象，跨站点脚本(Cross Site Scripting, XSS)、SQL注入攻击、跨站请求伪造(Cross-site Request Forgery, CSRF)漏洞、缓冲区溢出，表单篡改等各种web安全漏洞不断出现，对用户隐私信息的安全造成了极大的威胁，所以对于这些漏洞的检测是十分必要的。目前网络上一些主流的web漏洞扫描工具都是基于C/S结构的，需要另行安装客户端，在一定程度上占用了用户的部分系统资源，并且受到应用平台的限制。基于B/S结构的应用程序只需要部署在web服务器上，应用程序可以是HTML(HTM)文件或ASP、PHP等脚本文件。用户只需要安装web浏览器就可以浏览所有网站的内容并进行web漏洞检测工作，并且升级无需用户操作。B/S结构的web程序相对于C/S结构优势在于平台无关性和应用场景的便利性。因此本文针对web应用安全的常见漏洞，设计了基于B/S结构的web漏洞检测系统。本系统是在对web应用的拓扑遍历和网页代码分析的基础上，以按照OWASP(Open web Application Security Project)的TOP10漏洞分类建立的基于XML的web应用漏洞特征库为依据，构造有针对性的攻击测试消息，实施模拟探测攻击，结合特征提取算法可以检测出应用程序开发代码和web运行系统中存在的安全漏洞。本文研究并总结了常见web安全漏洞的检测方法，如XSS漏洞，SQL注入漏洞，CSRF漏洞。在功能需求分析的基础上对系统中各模块进行了详细设计，并对系统进行测试，达到了预期指标，结果表明本设计是合理的。