伴随着计算机网络技术的快速发展，Web及其相关技术得到广泛的应用，网站设计的需求越来越大，但同时其安全问题也日益突出，对它的安全性也越来越受关注，保障Web应用的安全性成为一个重要的课题。目前有许多用于防御Web应用攻击的防护系统，但是会产生不小的性能损耗以及维护成本。因此尽早发现WEB漏洞并将其修复可以极大的降低后续软件维护开销，避免不必要的损失。Web漏洞扫描是基于Web安全的一种应用非常广泛的主动防御技术，它已经在当前的网络环境中得到普遍的应用，能有效的帮助检测Web存在的漏洞，使漏洞检测更加准确和高效[1]。本文主要的工作重点在于对Web应用程序漏洞中的关键技术进行研究，在此基础上针对Web应用程序漏洞的XSS和SQL注入的漏洞特征，基于网络爬虫设计的一个具有针对性和实用性的扫描系统。本文以Web应用程序中的XSS和SQL注入漏洞为研究对象，主要有以下几方面工作：1.研究各种不同的Web应用程序漏洞的特性。详细剖析了XSS及SQL注入等漏洞。主要包括原因、分类、危害和防御方法。2.针对XSS和SQL注入漏洞的特性，设计实现了基于主题的网络爬虫模块，主要解析含有参数的URL,手机可能存在XSS和SQL注入的页面，同时设置爬虫深度，直至爬虫结束。3.设计实现了基于注入恶意代码进而进行静态扫描代码的方式XSS检测模块。4.设计及实现了基于绕过用户验证的方式和基于注入错误代码查看返回信息的方式SQL注入检测模块。5.对结果以生成报告的形式进行展示。6.对该系统进行黑盒测试。