Web应用是最受黑客青睐的攻击目标,为了应对攻击威胁,企业开始越来越重视对Web应用软件的安全测试。对于Web系统来说,最具时效性和功效性的自动化检测分析来自于渗透测试。渗透测试是一种模拟正常安全攻击行为,并对行为结果响应进行分析,以确定是否存在安全漏洞的一种黑盒测试方法。许多安全研究者投入大量精力对渗透测试进行研究,并取得了许多成果,但目前尚且没有成熟的理论模型来优化渗透测试流程,也没有适当的理论方法来指导生成优化的测试用例集合。这使得渗透测试具有较大的盲目性,造成测试效率和准确度不理想。本文主要针对目前比较流行和危害较大的两种安全漏洞---SQL注入(SQL Injection)和跨站脚本(Cross Site Script,简称xsS)进行研究。通过对该两种漏洞类型测试用例的有效生成和优化问题及自动化检测分析方式的研究,提出了基于有向图的SQL注入测试用例生成模型和基于攻击位置的跨站攻击测试用例生成模型。并利用模型指导、优化测试用例集的生成过程,最终生成了优化的测试用例集合。另外,针对漏洞自动化检测流程,提出了基于代理模式的渗透测试模型来优化检测分析过程。利用该模型,安全分析者可以尽最大可能的收集测试数据,避免对测试输入点集合的遗漏,提高了测试准确率。通过实验和测试,一方面通过新的用例模型生成了优化的测试用例集合,并对最终用例集合的有效性进行了测试分析。其次,对新的渗透测试模型进行了检测分析,验证了模型的有效性,取得了很好的效果。