与Internet迅猛发展相同步,Web应用系统也由于具有便于使用、开发简便且极具开放性的特点,在各领域都取得了长足的发展,但也随之产生了诸多Web应用安全问题。大量的企业和用户因为Web应用攻击而遭受了重大经济损失,人们急需要提高对Web应用安全的重视程度。如何高效且精确地检测出Web应用程序当中的安全问题成为信息安全领域的研究热门之一。使用对Web应用程序进行渗透测试扫描,发现其中的安全风险,并且及时地对这些安全漏洞进行修改和弥补,能够增强Web系统的安全性,这具有非常重要的现实意义。本文的主要工作包括以下几个方面:(1)分析介绍了 HTTP协议相关技术,详细剖析了几种常见漏洞产生的原因、攻击方法和过程、危害以及检测和防御方法,以及渗透测试技术相关理论。(2)详细介绍了网络爬虫相关技术,选取广度优先算法策略和多线程技术,并利用该技术实现对待检测站点URL的爬取。(3)设计出一种基于Web应用的渗透测试系统,主要针对目前网络上常见的SQL注入漏洞、XSS等漏洞和目录遍历漏洞进行分析和测试,使其能够识别和检测出当前网络上比较流行SQL注入漏洞、XSS漏洞和目录遍历漏洞。(4)描述系统的详细工作流程,然后介绍网络爬虫模块的实现过程,包括整站递归爬取URL,URL标准格式化,URL过滤,URL参数变换等过程。最后介绍了检测工具模块的设计实现过程,包含三个比较典型的Web应用漏洞扫描插件的检测过程。(5)制定测试方案,搭建测试环境,对基于Web应用的渗透测试系统进行测试分析,验证系统各个模块均能正常工作,系统整体功能达到预期的设计期望。本文最后对当前已做工作进行总结,并对以后的工作进行了规划和展望。