当前网络漏洞导致的网络安全问题非常突出,据Gartner调查,75%以上的互联网攻击和网络安全事故,主要是利用Web应用程序漏洞而发生的。目前大多数Web应用程序编程人员没有接受过专业的安全培训,严重缺乏安全意识,导致大量Web站点存在各种漏洞。根据开放式WEB应用程序安全项目(OWASP)发布的最新的web应用的十大关键风险中,注入漏洞和跨站脚本这两种漏洞居于首位。由此可见这两种漏洞存在范围之广、危害之大。Web页面信息抽取是指从无结构、半结构、不规则的web页面中,识别用户或系统感兴趣的数据或内容,进行一定地提取和处理,并转化为结构化或语义清晰的内容的过程。漏洞扫描就是对计算机系统或者其他网络设备进行安全相关检测以找出网络中存在的安全隐患和可能被黑客利用的漏洞,并针对每个具体漏洞给出一个检测依据或者解决方案。论文重点研究了XSS漏洞和SQL注入漏洞,给出了对这两种漏洞的实验分析,并对现有的SQL注入漏洞的识别方法进行了改进。采用了基于HtmlParser的页面分析方法和针对javascript的页面分析方法,提出了对ajax框架下的页面链接分析方法,并对该方法进行了实验分析。给出了漏洞扫描系统的设计与实现,并对系统进行了功能测试、准确性测试以及对比测试。本文采用页面链接分析法,对web站点的XSS漏洞和SQL注入漏洞进行漏洞扫描和动态检测,通过实验分析与对比,证明了本文中的扫描方案可以更好的识别和检测web应用程序漏洞,同时研究的一系列关键技术对相关领域的研究具有一定的参考价值。