从2011年开始的“十二五”规划已于2015年收官,网络在我国大量普及,已有6.88亿网民连入互联网,成为互联网大军的一员。互联网已融入人民的生活。但随之而来的互联网安全问题也愈演愈烈,信息安全愈发受到大众关注。国家也针对网络空间开始大力推行法制化。虽然网络安全防护水平有所提升,但各种针对web系统的网络安全事件依旧层出不穷,并多次出现由信息泄露所引发的精准网络诈骗和勒索事件。如何提升web系统的安全防护,是十分值得探讨的问题。网络技术多种多样,针对web系统的攻击亦多种多样,但传统的web系统安全工具主要集中在漏洞扫描,通过对发现的漏洞进行修复来提升安全性,但是并未纵观web系统全局安全。而且目前很多漏洞器基于C/S架构,通常情况下,并不易于部署和使用,且对新漏洞更新不及时。虽有商用软件支持较好,但是却很昂贵,并不适用于众多中小型企业对小型网站的安全保障工作。针对上述问题,本文分析并研究了 web系统的基本安全信息搜集和漏洞信息搜集及其关键技术,并设计并实现了一个高可用性、高扩展性的面向web系统的安全信息搜集平台。此平台可搜集web系统的全局安全信息,协助管理员评估网站安全风险。主要工作如下:1.对web系统的安全信息搜集方式进行调研,从web系统安全入手,对web系统的基本的安全信息进行分析,完成对面向web系统的安全信息搜集平台进行可行性分析和需求分析。2.对web系统的主要安全漏洞进行研究,分析了不同web系统漏洞特性和漏洞扫描技术,并深入分析了 SQL注入和XSS漏洞的形成原理、漏洞利用、漏洞危害、防御方法等。3.对web服务器端的过滤机制进行研究,并分析与其对应的反过滤规则集。并使用此方法对XSS漏洞测试用例库进行拓展、优化,从而提升XSS漏洞的扫描覆盖率。4.最后对安全信息搜集平台进行逻辑设计,并对平台的不同模块进行详细设计并实现,同时完成对平台进行信息搜集、漏洞扫描等方面的测试工作,验证平台的可用性与有效性。并使用本平台对大量网站进行基本安全信息搜集,完成对应信息统计、分析工作。