随着Web应用的普及，Web应用程序漏洞以越来越快的速度爆发出来，针对Web应用程序漏洞检测技术的研究正逐渐成为国内外研究的重点和热点。本文介绍了已有的Web应用程序漏洞及其带来的危害，研究了针对各种漏洞检测的原理和具体实现，重点深入研究了远程文件包含漏洞、文件上传漏洞和路径遍历漏洞，在此基础上设计并开发了基于模拟攻击的Web应用程序漏洞检测系统原型。　　 基于对Web应用程序漏洞检测技术及工具发展历史的研究，笔者发现已有的一些漏洞检测系统不够完善，有的系统仍然采用基于主机的被动的检测方式，有些系统针对漏洞的检测结果不够完整，更多的由于设计的针对性不强，导致检测效率极其低下。怎样科学地对漏洞检测系统进行规划，怎样准确地爬行整个Web应用程序以及怎样高效地进行漏洞检测，成了所有Web应用程序漏洞检测系统开发者共同面临的难题。　　 本文提出的模拟攻击的检测模式，模拟恶意攻击者，向Web应用程序发动攻击，通过Web应用程序的返回信息来判断漏洞是否存在，具有很强的实用性。本文设计的漏洞检测系统能够自动全面地对整个Web应用系统进行爬行，提取页面详细的结构信息，并使用XML保存；将各漏洞检测引擎模块化，插件化，便于不同漏洞检测引擎的整合以及新的漏洞检测引擎的扩充。本文提出了漏洞分级的思想，根据不同的漏洞等级进行不同的检测，具有一定的新意。本文实现了对远程文件包含漏洞、文件上传漏洞和路径遍历漏洞的检测引擎，开发了基于PHP语言的目标系统，对检测系统原型进行了全面的功能和性能测试，证明了系统设计的合理性。