当前针对web应用程序漏洞发动的攻击在各种攻击事件中所占比例越来越高，造成了巨大的危害。基于网络的web应用程序漏洞检测系统从黑客角度出发探测漏洞，具有使用方便、不需要在目标系统上安装扫描软件、扫描结果可比性强等优点，但是目前的系统还不够完善，存在只能够探测已知漏洞、扫描不全面、检测盲目性大等缺点，因此，开展本课题的研究具有重要现实意义。 本文介绍了Web应用程序漏洞与危害，研究了检测web应用程序漏洞的原理、实现技术，在此基础上设计了一个基于网络的web应用程序漏洞检测系统VSCAN，并实现了系统原型；对跨站脚本漏洞进行了深入研究，提出了两组检测参数，最后对系统原型进行了测试，证明了设计的可行性与检测参数设置的合理性。本文主要贡献如下： 一是提出了基于检测参数库的web应用程序漏洞检测方法，设计了一个基于网络的web应用程序漏洞检测系统，克服了已有系统只能够检测已知漏洞的缺点。通过研究web应用程序漏洞检测技术发现，web应用程序漏洞检测参数对扫描同类漏洞具有普遍适用性，因而检测参数能够独立于具体的web应用程序。本设计将检测参数存放在检测参数库中，分析引擎使用检测参数库中的数据生成探测web应用程序的请求，实现了对未知漏洞的检测。另外，由于检测参数并不与具体的web应用程序绑定，所以可通过简单更新数据库实现功能灵活扩展。 二是解决了检测存在扫描盲点的问题。新检测系统使用访问授权表，使得检测系统在遍历阶段可以获取所有的交互单元信息，这样就能够发现需要检测的web应用程序，避免了漏检问题，为整个扫描工作打下了良好的基础。 三是避免了检测的盲目性。新的检测系统通过提取目标系统的交互单元信息来发现需要测试的对象，分析引擎将检测参数与测试对象结合在一起，生成了特定的检测请求，使得所有检测请求有的放矢。 四是分析了跨站脚本漏洞产生的原因与黑客攻击这类缺陷的过程，指出了可能的注入点，研究了跨站脚本执行的场景，提出了跨站脚本漏洞检测参数的设计方法，并设计了两组跨站脚本漏洞检测参数。