近年来,随着互联网的高速发展,越来越多的Web站点应运而生,大量有价值的信息以及资源被放置于Web服务器中,但同时由于相关运营人员普遍的安全意识不足,致使Web站点漏洞频发,安全问题日益凸显。然而在Web服务器漏洞发现方面现有研究还多局限于理论层面,偏重于普遍存在的安全问题的预测以及预防,导致目前在大规模Web服务器漏洞发现与验证技术相关的研究严重缺乏针对性,并且没有一个良好的工程模型去进行理论实践。因此本文提出并设计实现了一种基于Web应用的大规模Web服务器漏洞发现与验证技术理论框架,意在解决上述提到的问题。本系统从Web服务器的发现开始,经过端口扫描,指纹收集,指纹识别,漏洞库匹配的过程,使用层层递进的方式对目标服务器进行信息收集分析,获得其可能存在的潜在脆弱点并进行漏洞验证,完成针对Web服务器具体应用漏洞的发现与验证过程,实现一套自动化的漏洞检测和验证机制。最后系统设计尽可能的采用轻量级的扫描框架,使用针对Web应用的漏洞验证模式,简化工作流程,同时优先考虑系统任务间的并行效率,使得系统可以同时对大量的Web服务器进行快速的漏洞测试,从而从工程的角度实现了大规模Web服务器的漏洞发现与验证。最后在实际实验中,本系统在较短时间内完成了对十万级Web服务器的漏洞发现与验证测试,证明了我们的研究是有价值的。