WEB应用程序越来越受企事业单位、个人用户的重视，它具有很强的可移植性，只要有浏览器并能够连接到互联网就可以直接使用；它具有很强的灵活性，前台后台操作分明，即使是管理员也可以远程操作，而部署成本更是远远低于普通C/S结构的应用软件。随着电子商务网站、SNS站点的逐步流行，WEB应用程序在给人们带来便利的同时，也带来了前所未有的巨大安全风险。而渗透测试作为一种高效的WEB安全测试方法，正在普遍应用于WEB应用程序安全测试工作中，本文研究了WEB应用程序渗透测试方法，主要工作有以下几个方面：　　 1.WEB漏洞种类繁多，为了使测试更具针对性，选取常见且危害较大的漏洞作为测试范围，并对这些漏洞进行归类，总结出各种漏洞测试方法及工具。　　 2.为了将测试工作中的漏洞漏报和误报降到最低，研究WEB应用程序渗透测试具体实施步骤，制定出了一套实用的渗透测试规范，并提出了一些具体的漏洞测试实施方法。　　 3.为了对测试工作中发现的漏洞进行有效管理，设计了一个基于WEB的漏洞跟踪管理系统，并应用于实际的渗透测试工作中。　　 本文的创新点如下：　　 1.提出了一个针对WEB应用程序的渗透测试规范，在该规范中设计了适合于WEB应用程序的漏洞危害等级评估标准，并设计了渗透测试报告内容及格式。　　 2.本文设计的漏洞跟踪管理系统基于漏洞状态变化对漏洞进行管理，并且将漏洞测试、修复和管理工作分配给不同的角色，使得漏洞跟踪和管理更加方便。