随着Web应用技术的迅猛发展，Web应用已经涉及到人们生活的各个领域，Web应用系统漏洞检测技术日益成为国内外学习和研究的热点与重点。但是，Web应用系统漏洞自动化检测技术还处于起步阶段，Web应用系统的安全防护问题还未得到足够的重视。针对SQL注入、跨站点脚本等常见Web应用系统漏洞进行的攻击都是从正常的WWW端口进行，可能会造成不可预想的危害且很难被人察觉到。因此，对Web应用系统漏洞自动化检测技术进行全面的研究，以及相关检测系统的实现对于Web应用系统漏洞的防范及检测具有极其重要的理论意义和实用价值。　　 本论文在深入分析总结常见Web应用系统漏洞的攻击方式、攻击特点、攻击参数及相应防御机制的基础上，设计并实现了一个基于网络的、基于漏洞分级及Fuzz技术的Web漏洞检测系统。系统中依据防御度高低对Web漏洞进行等级划分，并将漏洞分级作为模糊测试用例等价类划分的依据，将各漏洞攻击参数进行优化选择后，以模拟黑客攻击的方式主动地、有针对性地进行漏洞检测。　　 基于漏洞分级和Fuzz技术的漏洞检测模型能能够完整、自动的遍历整个目标Web应用程序，同时提取页面关键信息并根据各类型漏洞结构特征对页面集合进行分类，较好的提高了运行效率。另外，各漏洞检测引擎以插件的形式加载到系统主程序中，使得系统便于扩展和维护。并且，本系统采用基于网络的主动探测的方式，从黑客攻击的角度出发进行漏洞检测，使检测结果更具现实意义。在漏洞分级的基础上对漏洞检测参数进行了等价类划分，保证了测试完备性，消除了测试冗余性。不同级别的漏洞会有不同的模糊测试参数，使得检测速度更快、检测行为更有针对性，检测结果也可直接告诉用户造成漏洞的相应代码所采取的防御措施的不足，便于进行漏洞的修复，检测结果更具有现实参考性。