Web的开放性、易用性和Web应用的易于开发性使Web应用的安全问题日益突出。科学、高效、准确地测试评估Web应用的安全性是十分必要的，也是所有Web应用系统所面临的重要课题，对Web应用安全测试扫描技术展开全面的研究具有重要的理论意义和实用价值。本文对Web应用程序漏洞特征和Web应用安全扫描关键技术进行了较全面的研究，提出了一种基于主机的Web应用安全扫描系统模型。在研究了CVE和AVDL对漏洞描述技术的基础上，设计了一种基于XML的Web应用安全漏洞模型—WAML，讨论了该模型的具体描述内容。通过了解和分析现有漏洞扫描器的结构和功能，设计并实现了Web应用安全扫描系统结构和主要功能模块。结合系统要求，研究了每个模块所需的相关实现技术，如遍历模块中能够的网站拓扑结构获取技术；分析阶段的Web网页文件内容的信息提取技术和HTML代码解析技术；完成攻击测试所需的HTTP协议工作模型和XML文件解析技术以及基于ⅡS日志的安全审计技术等，为安全漏洞分析检测工作奠定了基础。通过对开源软件包HTML Parser、HttpClient和标准开发包SUN JDK1.6进行二次开发，设计并实现了HTML标签解析器、模拟HTTP客户端行为和XML文件编辑解析器，为Web应用程序漏洞特征库信息采集、库内容和功能扩展、漏洞规则优化和客户端与服务器端的交互提供了良好的操作接口。初步实现了Web应用安全扫描原型系统，它作为服务器端的应用程序运行，提供信息扫描与分析服务。该系统根据用户需求扫描探测多种Web应用程序漏洞，并给出较为完整详细的Web应用程序漏洞安全扫描报告，为应用开发者的代码优化、网站管理员的安全站点管理和安全专家的分析评估提供必要的信息和依据。