近年来,Web应用程序以其开发周期短、维护成本低、移植性强等优点得到越来越广泛的应用,已经成为我们日常生活中一种流行和普遍的互动媒体。Web应用程序在给人们带来极大便利的同时,也引起攻击者的强烈关注,危害用户个人数据的漏洞时常被发现。Web应用渗透技术是在近几年Web应用蓬勃兴起的背景下发展起来的,通过渗透测试可以及早发现漏洞并将其消除,防患于未然,提升软件产品的信誉,且在软件生命开发周期中,漏洞发现的越早,用于修复和维护的费用越少。Web应用漏洞扫描软件作为Web应用渗透测试过程中的一类重要的工具,通过自动化或人工与自动化相结合的方式有效辅助检测者,减少检测者的工作量,因此很有研究的必要。自动化的Web漏洞扫描器经常被Web应用开发人员和系统管理员用来测试Web应用漏洞。本文分析了Web应用漏洞及其产生原因、漏洞检测方法和检测关键技术,针对现有Web漏洞检测工具的不足,提出了一种高效的基于优化爬虫和特征识别的Web应用漏洞检测机制。基于本文提出的漏洞检测机制,为典型的Web漏洞XSS漏洞以及SQL注入漏洞设计了检测方法,并实现了SQL注入漏洞的检测方法,结果表明该检测方法能够有效的检测SQL注入攻击,同时也验证了本文提出的Web应用漏洞检测机制的有效性和可行性。