随着Web技术的普及,Web应用程序漏洞检测技术越来越成为国内外研究的重点和热点。本文介绍了Web应用程序现存的漏洞以及带来的危害,研究了Web应用程序漏洞检测的原理和实现技术,其中重点深入研究了跨站点脚本漏洞和SQL注入漏洞,并在此基础上设计了一个基于主动攻击式的Web应用程序漏洞检测系统,并且实现了系统原型。　　 目前现有的一些扫描系统仍不太完善,有些系统仍然采用被动的扫描方式；有些系统针对漏洞的扫描速度慢且存在死角；有些系统则是对于漏洞规则设计的针对性不强,导致扫描效率低下。如何能够科学、高效、准确地检测Web应用程序存在的漏洞变得十分重要和必要,是所有Web应用程序开发者和测试者所共同面临的难题。　　 基于主动攻击式的Web应用程序漏洞检测模型能够自动、完整、全面地遍历整个Web应用程序,并且同时提取Web应用程序中的页面结果信息。这些页面结构信息能够帮助理解整个Web应用,能够根据Web应用程序漏洞规则对页面进行分类。根据针对Web应用程序漏洞的研究得出跨站点脚本漏洞以及SQL注入漏洞的产生规则,并在程序中自动生成相关参数。在本文设计的系统中采用插件式结构,不同的功能均以插件的形式组合在一起,提高了系统的安全性和重用性。并且本文提出了针对不同漏洞采用分级制度,根据漏洞分级进行不同安全等级的检测。因此,本文在漏洞扫描的核心部分中,具有一定新意。本系统实现了对跨站点脚本漏洞和SQL注入漏洞的扫描与检测,最后针对系统原型进行了测试,证明了系统设计的可行性和检测参数设计的合理性。