目前，针对Web应用的恶意攻击行为层出不穷并有愈演愈烈的趋势。而针对Web攻击的防御和检测技术还不够完善，主要的问题是缺乏针对新型攻击的检测和防范、检测不够全面、检测准确性不高等。因此，研究针对Web攻击的检测方法和针对新型攻击手段的防御技术具有重要意义。　　 在分析Web攻击和漏洞检测原理的基础上，以脚本安全为研究对象，研究Web攻击的最新防御技术和检测方法，所作的主要工作和取得的结论如下：　　 1.介绍Web应用攻击的概念、特点和发展现状。详细分析Web安全的攻击技术和防御研究现状，重点剖析SQL注入、XSS跨站、CSRF攻击和拒绝服务攻击产生的原因、攻击方式及其防御措施。　　 2.提出一种依据反向匹配原则和模糊测试的防御拒绝服务攻击方法。该方法针对较新型的基于脚本页面的DoS攻击方式-正则表达式拒绝服务攻击，依据正则表达式引擎的反向匹配原则构造随机的攻击测试用例，使用模糊测试方法对可疑正则表达式子进行迭代测试，计算匹配时间来校验正则表达式子的安全性。测试并分析结果表明，该方法以较低的误报率和漏报率校验正则表达式子的安全性，完成对正则表达式子拒绝服务攻击的防范。　　 3.设计基于代理的被动式Web漏洞扫描系统。系统使用被动式的扫描方式，基于代理监视客户端与服务器之间的通信，分析并检测数据包来获取服务器端的状态，设计针对信息泄露、字符编码问题、跨域引用、HTTP头部和反射型XSS等安全问题的检测模块，扩展针对CSRF漏洞的检测模块并介绍核心模块的每一个子模块实现细节，挖掘Web系统存在的漏洞。相比于主动式的扫描方式，被动式的扫描对服务器端的扫描负载相对较小。同时，系统提供的抽象设计接口提供了良好地功能扩展。测试结果表明该系统以良好的扩展性、可接受的误报率和漏报率完成Web漏洞的扫描。