随着互联网的发展和Web 2.0时代的到来,在许多行业领域都建设了Web应用信息站点,而网络上针对这些Web应用程序的攻击也越来越多。Web应用出现的安全问题已经非常迫切,传统的网络安全保护措施只能有限度地保护Web应用不受攻击。网络防火墙必须放过80端口的http请求,且大部分Web Server都没有仔细地检查http请求的合法性,因此Web应用程序成了暴露在互联网上的靶子。对Web应用安全漏洞的产生场景和检测技术展开详细研究具有基础应用价值,也引起了越来越多信息安全研究人员的注意。针对层出不穷的Web安全漏洞,本文着重研究了SQL注入、XSS(反射型、DOM型和存储型)以及CSRF等常见重点漏洞的产生场景和检测规则,此外还研究了比较适合扫描系统存储和下发的规则文本组织形式,以及具有解析javascript脚本功能的爬虫实现。经过在本地搭建的测试环境的测试,提出的检测用例能够检测出大部分常见漏洞,而对于存储型XSS漏洞尚无自动化解决办法。此外检测用例也探测到一些实际站点的漏洞,说明研究的规则有一定的实用性。设计实现的爬虫不仅能够爬出静态页面中的url链接,对于需要解析javascript才能获取的链接也可以爬取。提出的xml规则组织文本形式能够适应规则的扩展,也为扫描器的规则解析和下发提供便利。