随着计算机和互联网的飞速发展,各个行业对计算机的依赖逐渐加大。与此同时,带来的计算机安全问题越来越引起人们的重视,Web安全事故的颁发,更体现的Web安全检测重要性。随着J2EE在Web系统开发中的快速应用,针对此类Web系统的安全检测需求越来越大。传统的Web安全检测技术已经满足不了需求的变化。为了提高Web安全检测的全面性和准确性,将代码审计也应用到Web安全检测中,使得Web安全检测更加的全面准确。本课题正是基于这样一个背景,通过对Web系统中的Java字节码进行分析,利用Findbugs提出了一种全新的灰盒代码审计方案来检测Web安全,给Web的安全检测增加了新的方案,提高了检测结果的全面性。本文首先说明了课题的研究背景,介绍了Web安全和代码审计相关的技术基础知识,如Findbugs、自定义规则的编写等,同时对目前常用代码审计软件进行了对比分析。然后对灰盒代码审计工具进行一系列的功能性扩展,并且重点分析了审计前文件处理、审计结果的污染扩散和审计后的结果重定位这些扩展功能,实现了利用灰盒代码审计对Web工程进行安全检测。最后提出了一种新的Web安全检测方法,分别利用灰盒代码审计和渗透测试对同一个Web工程进行安全检测,对两款工具的检测结果进行对比分析,查找两个结果的关联性,根据关联性对这连个结果进行整合,从而实现全面准确的Web安全检测。