摘要：随着Internet的不断发展,Web应用程序越来越多地深入到社会生活的各个方面,给人们的生活提供了极大便利,同时也带来了前所未有的安全风险。但是,由于Web应用程序本身及运行环境的复杂性,其安全问题日益复杂。渗透测试作为一种极其重要的Web应用程序安全测试技术,可以发现Web应用程序中存在的漏洞,以便于及时消除相应的威胁。但在实际工作中,渗透测试的结果往往与测试人员的经验、技巧直接相关。为了避免Web应用程序渗透测试的结果太过于依赖测试人员的个人能力,也为了提高渗透测试效率,现在亟需一套科学有效的Web应用程序渗透测试方法。针对上述问题,论文从课题的研究背景出发,首先分析渗透测试在国内外的研究现状及发展动态,并对相关理论和技术进行研究；然后,提出一套Web应用程序渗透测试方法,对Web应用程序渗透测试的流程和内容进行优化设计,将测试流程分为6个阶段,包括制定渗透测试方案、收集分析相关信息、制定详细工作计划、实施渗透测试工作、评估漏洞风险等级和编制渗透测试报告,将漏洞测试范围划分成身份认证类、数据验证类、信息泄露类、Session类、应用逻辑类、Web Service类和第三方组件类等7大类,并对SQL注入和XSS攻击这两种常见漏洞的测试方法及常用测试工具进行总结与分析；最后,论文结合实际项目,给出一个完整的Web应用程序渗透测试方法应用案例,验证该方法的有效性和实用性。图14幅,表14个,参考文献51篇。