随着互联网Web技术的迅速发展,越来越多的应用丰富了我们的生活,如网上购物、社交网站等,然而伴随而来的却是极大的安全隐患。恶意用户如一些黑客,利用Web应用本身的缺陷来挖掘信息,盗取敏感数据或破坏Web应用以谋取巨大的利益。因此Web应用安全正在受到越来越多的重视。Web应用程序漏洞种类繁多,其存在的原因一方面源于Web应用本身的编码安全问题,而另一方面来自系统人员对Web服务器的错误管理及权限控制等。因此,迫切需要一种主动发现漏洞进而修补漏洞的方法来加强Web应用的安全。然而,国内目前专门针对Web应用安全漏洞进行检测的系统几乎没有,且效果通常较差。因此本文进行Web应用漏洞挖掘的研究具有重要的现实意义。本文通过对Web漏洞存在的成因做了分析并详细地阐释了Web漏洞的种类以及相关Web漏洞检测技术的原理。然后基于该原理,设计了一个Web应用漏洞挖掘系统并对其中的关键技术做了详细的阐释。成果主要有以下几点：1、我们在网页抓取模块方面经过调研,最终选取了抓取页面极强的开源爬虫Larbin作为网页抓取模块的核心,并且通过分析Larbin的缺陷后,增强了Larbin爬虫的相关功能如对于中文URL页面抓取的支持以及Larbin爬虫的网页判重算法的优化,使得其在抓取页面的误判率上大大下降,增强了对于页面抓取的覆盖率。2、针对于目前威胁最大的SQL注入漏洞,我们加强了对数据库信息的识别,从而提高了SQL注入检测的效率,加快了SQL注入漏洞检测的速度。通过对SQL的注入方式进行深入研究后,我们提供了足够多且精妙的测试集,保证了SQL注入检测的准确性。