随着Internet及其相关技术的飞速发展，网站安全问题也越来越突出，网站发布前的安全测试，能测试和修复可能存在的安全漏洞，有效防止攻击，无疑是网站安全防范非常有效的方法，安全测试工具成为一个引起广泛关注的研究领域。目前的安全测试工具单纯采用黑盒测试方法，普遍存在分析漏洞不准确和无法修复漏洞等缺点。论文针对目前安全测试工具的缺点，分析了其中的不足，在研究了相关理论与关键技术的基础上，提出了黑盒测试与白盒测试相结合的测试模型，模型结合了黑盒测试方法节省测试时间和白盒测试方法分析程序全面的特点。在此模型的基础上论文实现了一个针对．NET网站的自动化安全测试工具STTC(Security Test Tool in C#的缩写)，STTC主要包括黑盒测试和白盒测试两个子模块，黑盒测试模块测试网站页面，记录漏洞程序和漏洞类型，白盒测试模块提取并分析漏洞源程序，定位和尝试修复漏洞。在黑盒测试子模块中，建立攻击数据库来模拟人为攻击。在白盒测试子模块中，对每类漏洞建立攻击模式匹配库，有效防止攻击，通过程序跟踪准确定位漏洞位置，通过程序插桩自动修复漏洞。最后以Word文档方式返回详细测试报告，为用户提供全面的安全解决方案。论文对主要模块的设计思想和实现进行了论述并通过实验对STTC的测试和修复能力进行了检测，然后通过与商业测试工具Acunetix Web Vulnerability Scanner的比较分析了STTC的性能。最后对论文进行了总结，阐述了将来进一步的研究工作。