随着互联网的普及，Web已经应用的各个领域，但针对于Web应用程序漏洞的攻击也越来越多，其危害程度也越来越大，虽然采取了多层的安全措施，但应用程序本身的漏洞，这些措施都无能为力，及时发现并修复Web应用程序漏洞才是根本解决其安全问题的方法。基于Fuzzing黑盒测试方法通过模拟攻击者的行为来检测漏洞，所以检测结果很准确。但现在Web设计越来越复杂，Web应用程序通常会对输入进行验证，黑盒检测往往不能自动构造有效的输入数据，一方面影响了Web漏洞检测系统的测试深度，另一方面由于模拟攻击的实例不够精确有效，影响其检测效果。针对于上述问题，本文在对符号执行技术和Fuzzing测试技术进行了深入研究的基础上，实现了一个完整的基于符号执行的Web检测系统JSCAN。JSCAN能自动生成精确的输入数据，解决了以往同类Web检测系统的不足。本文主要的贡献包括：研究了符号执行和Fuzzing测试的现状，提出一种基于符号执行的Fuzzing测试模型；在对符号执行的原理进行深入研究的基础上，结合Web应用程序输入数据的特点，设计了一种基于符号执行自动生成输入数据的方法，该方法将符号执行应用于网页的程序片段，提取出代码的静态约束和动态路径约束，对约束进行求解，最终能生成精确的输入数据；通过对输入约束和和检测特征字合取，再进行约束求解，最终能自动生成精确的攻击参数；最后将该方法应用到Fuzzing黑盒技术中实现了一个完整的Web检测系统，并在网页爬取、时间开销和漏洞检测等方面对系统进行了评估，证明了方法的有效性和可行性。给定检测目标，该系统能自动生成爬虫输入数据和模拟攻击参数，对目标系统进行全面检测，并生成完整的检测报告。