目前,Web2.0、聊天交友网络、博客等大多新兴互联网产品的出现,针对Web体系环境下所开发的Web应用,被越来越多的民众所使用,而且越来越普遍,被更多用户所认可。当然,同时也带来了很多问题,网络发展越快,恶意攻击者越来越多,所以,Web体系的安全也备受关注,Web安全也是越来越做得研究的课题。针对上述问题,本文在分析了Web应用安全漏洞的基本原理及其产生原因的基础上,介绍了漏洞扫描方法及现有的漏洞扫描器扫描关键技术,针对现有Web应用安全漏洞扫描工具的不足,设计了一种高效的基于优化爬虫的Web应用漏洞扫描机制。基于本文设计的漏洞扫描机制,为典型的Web漏洞XSS漏洞及SQL注入漏洞设计了扫描方法,并实现了SQL注入漏洞和XSS漏洞的扫描。设计实现了一款基于SAAS模式的可用性高,可扩展性高,性能良好的Web应用安全漏洞扫描器。本文主要工作如下:(1)分析各种不同的Web应用程序漏洞的特性以及Web应用漏洞的扫描技术。尤其详细剖析了漏洞出现次数最多的SQL注入漏洞、XSS漏洞、信息泄漏漏洞,包括产生原因,攻击方式,检测方法和防御方法等。(2)研究网络爬虫技术,设计了一种基于广度优先策略的优化网络爬虫算法,使得它不仅能够抓取网页,还能对网页进行解析,并且有效去重。运用正则表达式的方法,提取出网站的所有可输入区域,并对网址进行URL标准格式化、URL过滤、URL参数变换等,增强了系统的性能。(3)设计并实现Web应用安全漏洞扫描器,采用漏洞信息库的方式实现了对SQL注入漏洞、XSS漏洞和目录遍历漏洞的扫描功能。基于Web应用安全漏洞扫描器的扫描结果,表明该扫描方法能够有效的扫描SQL注入和XSS漏洞,同时也验证了本文设计的Web应用漏洞扫描机制的有效性和可行性。