在Web2.0的背景下,Web应用受到广泛使用,给人们生活提供了巨大便利。但同时,由于开发人员安全意识缺乏等原因,Web应用也存在许多安全隐患,攻击者可以利用漏洞进行攻击,窃取敏感信息或中断业务系统,给用户和企业造成巨大影响。因此保护好Web应用安全,及时有效地检测Web系统中存在的漏洞并进行有效的响应修复,就显得尤为重要。本文对当前已公开的Web应用漏洞检测工具进行了对比,发现当前市面主流工具中还存在以下几方面不足:系统环境依赖度高,用户体验差;系统功能繁杂,拓展性差;系统灵活度低,定制化功能和服务少等。针对以上问题,本文设计了动态网站安全漏洞检测系统,提出了基于网站结构和漏洞库的安全检测方案,能够对Web系统中存在的已公开和未公开漏洞实施检测,系统拓展度高,应用效果好。本文的主要研究内容如下:1.对Web应用安全现状做背景研究,分析现有的漏洞检测工具的发展现状,展开漏洞检测相关技术研究。2.梳理了本系统功能和业务流程,提出了“高内聚、低耦合”的系统架构。3.深入研究启发式爬虫技术,以SQL注入和XSS漏洞检测为例,设计实现了基于网站结构的未公开漏洞检测模块;研究了 Web系统指纹信息收集技术,设计实现了基于公开漏洞库的已公开漏洞检测模块。4.提出了系统部署框架,研究Kubernetes容器技术,对各模块进行Docker镜像封装,通过动态插装镜像实现系统高拓展特性。5.对本系统各个模块进行功能和用例测试,从扫描速率、误报率和漏报率等方面进行评估,证明本系统的有效性。