随着互联网技术的发展与进步,Web应用漏洞的数量也在不断增长。单一漏洞的利用对目标网络产生的攻击效果和破坏力有限,而多漏洞的组合利用攻击范围大且效果显著,甚至会导致一些难以预期的安全问题,造成严重的财产损失。因此对组合式漏洞进行检测能够及时发现计算机网络存在的安全隐患,改善网络信息系统脆弱性,防患黑客冲击事件,从而减少企业由于漏洞造成的经济损失。本文对Web漏洞检测中的关键技术进行研究。详细分析了几种Web漏洞的形成原因、攻击路径和防护措施,同时提出了基于符号执行的Web漏洞检测方法。该方法基于符号执行对漏洞攻击链进行回溯,通过攻击链之间的联系找寻漏洞之间存在的关联性,基于插件组合测试实现对组合式漏洞的检测。基于符号执行的漏洞检测技术首先爬取全网安全站点的漏洞情报信息,基于符号执行从漏洞利用脚本中回溯漏洞攻击细节,复原漏洞攻击链,同时构建组合式漏洞攻击链;然后基于漏洞之间攻击节点的支配关系,利用组合式漏洞攻击链构建方法对漏洞检测插件进行组合调用,最终完成对目标网络组合式漏洞的检测。对基于符号执行的Web漏洞检测技术进行功能测试和性能对比实验,结果显示:本文提出的检测技术可以实现对Web应用中组合式漏洞的检测,与其他漏洞检测工具比,不仅扩大了检测类型和范围,还有效提高了漏洞检测的召回率、准确率。同时还支持自定义插件,提高漏洞检测能力。