近年来随着各种重大Web安全事件的发生，对Web安全攻防技术的研究也越来越受到重视，被广泛研究的Web安全技术之一是Web渗透测试。Web渗透测试技术是从攻击者的角度考虑目标Web环境中可能存在的安全问题，利用攻击者可能使用的攻击手法发现其中存在的安全弱点，从而避免被恶意攻击者利用造成不必要的损失。本文研究了针对Web服务器及应用的渗透测试方法，主要研究工作如下:　　(1)为了准确获取Web服务器和应用的类型及版本信息，本文对Web指纹识别技术进行研究，构建了Web指纹库以及设计了Web指纹识别算法。　　(2)为了准确判断是否存在特定类型的Web漏洞，本文分析了主流Web攻击的攻击模式，并抽象了相应的攻击向量，然后使用组合测试理论生成覆盖率高的攻击向量实例，极大的缩小了攻击向量空间。　　(3)将Web指纹识别和Web攻击手法的攻击模式应用于渗透测试，并设计了一个实用的渗透测试架构，其主要设计思路是分别将Web指纹识别和攻击模式用于渗透测试的信息搜集阶段和攻击生成阶段。　　本文的主要创新点如下:　　(1)与已有的Web指纹识别方法不同，本文通过对Web服务器和应用的研究，提取了可防止Banner欺骗的Web服务器指纹和不易被删除或修改的Web应用指纹。　　(2)提出了一种基于Web指纹和攻击模式的渗透测试方法，通过获取特定Web环境的已知漏洞和缩小攻击向量空间，提高了Web渗透测试的工作效率。