随着Internet与Web2.0技术的快速发展,Web应用程序漏洞已成为互联网上最严重的安全隐患之一。为保证Web应用程序的安全,对Web应用程序漏洞的及早挖掘就很有必要。通过尽早的发现漏洞并修补,就可以做到未雨绸缪,减少或避免受到恶意攻击行为。本文在充分研究Web应用程序漏洞原理及常用漏洞挖掘技术的基础上,深入分析了Fuzzing技术在Web应用程序漏洞,特别是Web应用程序漏洞中影响最为广泛的SQL注入、反射型XSS以及存储型XSS漏洞挖掘中的应用。本文的研究工作主要有以下几方面：1)对Web应用程序漏洞的类型、原理及特点等进行了分析研究。2)对常用的Web应用程序漏洞挖掘技术及Fuzzing技术进行了分析研究。3)深入分析Web应用程序Fuzzing的原理及测试与检测方法。4)针对Web应用程序漏洞中最普遍的SQL注入漏洞和反射型XSS漏洞,设计并实现了一个基于Fuzzing的SQL注入与反射型XSS漏洞自动化挖掘系统。系统使用C#语言开发,包括网络爬虫模块和漏洞测试与检测模块。5)针对存储型XSS漏洞,研究设计了存储型XSS攻击向量自动化生成工具,并对开源Fuzzing工具WebFuzz进行了改进,结合这两者,实现了对存储型XSS漏洞的自动化挖掘。6)使用本文实现的漏洞挖掘系统对一些Web应用程序进行了测试及结果分析,在部分Web应用程序中发现了大量漏洞。