随着计算机网络技术的快速发展,web技术在各个领域都得到了广泛的应用,web应用系统无处不在,随之而来的是web应用系统面临的安全风险与日剧增。由于开发人员缺乏安全编程知识或经验,使得开发出来的web应用不可避免地出现一些漏洞,其中SQL注入漏洞是最常见的漏洞之一。Web应用漏洞检测技术,是一种针对web应用的积极防御技术。该技术在应用尚未遭受攻击前,模拟黑客攻击的方式对目标系统进行各种探测,发现系统潜在的漏洞。由于web应用工作在HTTP应用层协议上,所以传统的防火墙、IDS等网络层防护设备不能对其进行保护,此时就需要web应用漏洞检测工具对系统的应用层进行保护,二者互补不足,共同保护web系统的安全。Web应用漏洞种类很多,本文有针对性地研究了SQL注入漏洞。在OWASP最新发布的web应用安全风险报告中,其中SQL注入漏洞高居榜首,可见该漏洞最受攻击者关注,被利用的可能性很高,由此带来的安全风险也不断增加,因此研究SQL注入漏洞的检测是一件十分有意义的工作。本文首先分析了web应用面临的安全形势,主流的web应用漏洞检测产品,分析它们的优点与不足。接着重点研究了SQL注入漏洞形成的原因、具有的特点、攻击的过程以及防御的对策,以及研究了SQL注入漏洞的检测技术。在此基础上设计了web应用SQL注入漏洞测试系统的基础架构,描述了各主要组成模块的功能和工作原理,实现了系统原型；然后搭建测试环境,对系统的功能进行测试,基本达到预期的目标；最后分析了系统存在不足的地方以及提出了下一步的工作。