越来越多的企业和机构采用Web应用来实现各种业务的信息化,可是由于Web本身的开放性,不可控性等特点,Web应用的安全问题层出不穷,已经达到网络安全问题总量的70%,Web应用安全已成为信息安全的重要领域。而从软件开发的生命周期出发,去消除Web应用的安全漏洞,是Web应用安全的主要方向和趋势,也是一种从根本上控制风险的办法。本文正是从软件开发生命周期的角度出发,按照“细节中发现漏洞,架构上解决问题,流程中控制风险”的思路,对Web应用安全的关键技术进行了深入的探讨和实践,解决了一些技术在具体应用中的不足:1.总结了Web应用安全的测试工具,安全漏洞和开发技术的现状。2.通过对代码漏洞的深入分析和扩展定义,提出了一套针对代码注入漏洞的测试方法,经过实验证明,该方法能够减少测试用例的数量。对安全测试工具进行再开发和扩展,提高了测试的范围和正确率。3.建立统一的身份管理机制和认证模块,从而能够方便地管理身份信息的存储和访问。并且在认证模块中设计和实现了日志模块,便于审计访问信息。4.在前两项工作的基础上,制定并实践了针对Web应用软件安全开发流程:对Web应用的安全需求分析和安全架构审计做了规范;对安全开发中的权限控制模块做了抽象设计,使之能重复使用;总结一套安全测试流程,通过使用改进的测试方法和工具,有效地完成整个测试工作。