我们面临的现实情况是:一方面,网络上每天都会披露许多新的Web漏洞,扫描工具的漏洞库很难做到及时跟进;另一方面,系统类型及操作环境五花八门,第三方软件及独立开发软件各种各样,不可能每种系统对应的漏洞都能被及时发现并披露,传统的扫描工具自然无法对这些系统进行有效评估.那么,怎样才能解决这些问题呢?这里,笔者提出了一种全新的解决方案,即基于内容审计的远程Web安全评估技术.这种技术恰好有弥补传统Web漏洞扫描器不足的两大特点,一个是能够扫描探测各种未知漏洞,特别是与具体应用相关的未知类型的漏洞,另一个就是其判断分析依据是综合了内容和状态分析的,准确性和检测效率都得到了很大提高.总的来说,这种新型的Web安全评估系统应该是一个应用级的、内容分析的专家系统,它把手工测试过程中的专家经验嵌入到自动测试的工具当中,使得常规的静态Web漏洞扫描演变成为动态可变的全方位的Web安全评估.该文正是对该系统的设计和开发予以详细描述的.