网络安全风险评估报告显示，60％的网络攻击都是针对Web应用程序。在这些攻击中，SQL注入式攻击与跨站脚本攻击分别占据了25％与17％。此外，目前90％的Web应用程序都存在着安全漏洞。因此，Web应用程序的安全问题是信息安全研究领域的一大热点。面向Web的安全漏洞扫描工具既可以帮助程序开发人员创建安全可靠的Web应用程序，还能够保障网络用户的重要信息，因此，随着互联网的飞速发展安全漏洞扫描器发挥着越来越重要的作用。　　 本文分析了目前基于Web的网络攻击技术，分析了Web应用的常见漏洞，并在此基础上对当前主流的Web应用安全扫描工具的进行比较，最后设计并实现了一款面向Web应用的漏洞扫描工具iScan。iScan采用递归爬取与字典序的方法进行探测，并在检测结果的基础上对目标站点所存在的漏洞进行分类，最终生成检测报告。iScan还采用了单线程复用、异步I/O等技术提高工具的扫描性能。实验结果表明，iScan能够检测出常见的Web应用漏洞，生成的检测报告可以为Web应用安全评估提供有效参考与根据。iScan具备重要的实际应用价值，它既能够帮助互联网用户防御黑客的入侵，又能够帮助程序员开发出安全可靠的Web应用程序，从而避免Web应用的安全漏洞被黑客利用而造成的灾难性后果。