随着互联网的发展,Web应用程序的应用普及越来越广泛,其自身存在的漏洞正面临着巨大的威胁,每年都有成千上万的针对Web漏洞的攻击事件发生。而SQL注入漏洞作为其中最常见的漏洞之一,如何发现和避免SQL注入漏洞,不仅仅是安全测试人员的重点测试对象,现如今也逐渐地被纳入开发人员的考虑范畴。本课题以中国证券登记结算有限责任公司对所属网站以及在线业务系统的安全防护为背景,着重对Web应用程序的SQL注入漏洞的检测进行研究,主要研究内容包括网络爬虫、漏洞检测、导出报告等。最终依托MFC平台开发出一款检测SQL注入漏洞的系统。本系统应用了一种简易、高效、非破坏性的SQL注入漏洞检测方法,再结合多线程技术、广度优先搜索策略,从而完成对SQL注入漏洞的检测,最终实现系统可对较大规模Web应用程序进行检测,并且系统运行效率十分突出。该系统可在分析HTML网页内容时将网页文件临时存储到本地,再将分析结果存到队列中进行多线程处理。而在漏洞显示功能中,提供了包括数据库视图、列表视图、详细漏洞信息视图等多种观察数据的视角,并且随时能够以Word格式导出漏洞信息的报告。总之,本系统在SQL注入漏洞检测方面相较于其他主流的黑盒安全扫描工具,具有针对性强、检测速率快、误报率低等特点。