随着网络技术的不断兴起,安全话题已经成为了一个日渐重要的话题。渗透测试作为一个独立的检测网络策略的机制,成为极其重要的Web应用程序安全测试技术。但是在实际操作中,渗透工程师的技术能力和经验的差异会直接影响渗透测试的效果,对于复杂漏洞的扫描结果,人们很难判断出这些漏洞的威胁程度以及可能的攻击路径。为了避免渗透测试太过于依赖测试人员的个人能力,也为了提高渗透测试效率,亟需研究一套科学有效的渗透测试方法。论文基于B/S框架设计实现了一种渗透测试平台,并对漏洞威胁值评估进行了深入研究,提出了复杂漏洞存在情况下的评估机制。具体工作如下:1.针对现有CVSS缺乏对漏洞关联性评估的问题设计了一种基于通用漏洞评分系统的漏洞链评分标准。该方案采用漏洞链的概念,综合漏洞关联性、漏洞的本身属性等客观因素,计算漏洞攻击路径的相对威胁值,得出攻击路径上某个漏洞的威胁程度。通过现实实验环境的测试实验,与原有的CVSS单一漏洞评估方案进行对比,成功有效地评估漏洞攻击路径的风险。2.分析当下多重漏洞平台的需求问题,结合Web的跨平台性和普遍性,本文设计了基于Web的渗透测试平台。平台用户模块使用多种安全策略保证自身的安全可靠性,爬虫模块采取多线程爬虫的方案大大提高了爬虫工作的效率,漏洞模块通过漏洞库特征匹配的方法得出可疑漏洞。系统实现了本文提出的漏洞评估方案,生成高可读性的分析报告,从而更好地满足了用户对于安全的需求,促进用户更有效地防范黑客的攻击。最后通过测试验证了平台的可用性与有效性。