随着Web应用不断深入到人们工作和生活中,Web应用安全问题日益严峻,新的攻击手段层出不穷,特别是针对Web应用业务逻辑漏洞的攻击时有发生,如攻击者根据在线购物支付漏洞可以任意修改支付金额。然而,现有的Web应用漏洞扫描工具只能对非业务逻辑如SQL注入等常见漏洞进行检测,业务逻辑漏洞只能靠人工检测,准确率较高但是效率极其低下。为了解决该问题,本文对密码找回漏洞、在线购物支付漏洞以及业务接口调用安全漏洞等三种类型的Web应用业务逻辑漏洞进行研究,结合工具自动化检测和人工渗透测试的长处,使用Python开发了一个Web应用业务逻辑漏洞检测系统。本文的主要工作如下:(1)分析了 Web应用安全的严峻形势以及国内外研究现状,包括Web应用安全从传统Web应用漏洞到Web应用业务逻辑漏洞的转变;(2)对检测Web应用漏洞过程中使用的渗透测试技术进行了论述,并对渗透测试过程中使用的主流的抓包和编码转换等辅助工具进行说明,介绍了系统的开发语言和开发环境以及系统整体结构;(3)针对密码找回漏洞、在线购物支付漏洞以及业务接口调用安全漏洞等Web应用业务逻辑漏洞进行了大量的渗透测试,并在此基础上分析漏洞利用原理,总结出漏洞测试的一般性方法,对业务逻辑漏洞的检测方法进行研究;(4)解决了网络爬虫的两个核心问题:URL提取和核心算法的选择,实现了基于网络爬虫的密码找回漏洞、在线购物支付漏涧以及业务接口调用安全漏洞的自动化检测;(5)在系统需求分析和设计的基础上开发了一款扩展性良好的Web应用业务逻辑漏洞检测系统,对关键模块的设计和实现进行了详细说明,然后选取主流的Web应用对系统进行功能模块测试和性能测试,分析测试结果证实系统的可行性和高效性。