近年来,随着网络的飞速发展和网络技术的普及,Web应用已被广泛使用在Internet和Intranet之中。由于Web应用程序功能性和交互性的不断增强,对应的Web漏洞和恶意攻击层出不穷,呈现指数式的增长趋势,并导致各种安全事件频频发生,给个人隐私安全、企业安全和社会稳定等造成了很大的严重的威胁。因此,对于如何保证Web应用的安全已成为安全界广泛关注的重点。本文从Web安全工程的整体性角度出发,采用了安全开发生命周期SDL的相关理论,研究了Web安全设计、开发和运行测试这3个关键环节的相关技术,包括：可生存性Web安全威胁建模、Web安全功能设计,通用漏洞描述语言以及Web安全检测。本文总结了近年来Web安全技术和安全产品的发展,介绍了目前Web安全现状及其主要威胁,提出了可生存性Web安全威胁建模的概念,对其作用、特点、方法和建模步骤进行了分析,给出了相应的威胁建模用例,并采用.NET开发语言所提供的相应的Web安全机制来实现该用例。随后分析了5种常用的Web安全综合评测工具,对它们的性能进行对比,总结出评测工具所具有的优缺点,并提出了一个通用的Web安全评测框架模型,给出Web安全评测指标以及评测管理方法。为了在不同安全产品的漏洞数据库之间更好的共享和兼容漏洞信息,本文提出了一种基于XML的Web应用安全漏洞统一描述语言UVDL,并制定该语言的结构化XML文件及其主要框架文件。作者最终实现了一个基于UVDL漏洞描述语言的Web安全渗透性测试工具,并和Web安全综合评测工具以及兼容OVAL的评估组件的性能进行测试对比。测试结果表明,本文所开发的渗透性测试工具的测试速度较快,能够很好的共享和兼容不同安全产品间的漏洞信息,而且能够有效地检测出用例中所存在的漏洞,较好地保障了Web应用的安全性。