随着Internet的飞速发展及广泛普及,Web应用的安全问题成为Web应用领域不可回避的问题；对Web应用进行安全性测试,从而及时有效地发现Web应用的安全漏洞,这对于维护Web应用的安全来说至关重要。模糊测试(Fuzzing)作为一种基于缺陷注入的自动软件测试技术,正在发展成为一种有效的软件安全性测试方法。目前,国内在模糊测试领域的研究正处在起步发展阶段,本文旨在跟踪这项技术,结合Web安全漏洞攻击原理,研究并实现基于模糊测试方法的Web应用安全性测试工具。本文研究了模糊测试的理论,包括模糊测试的思想、模糊测试的过程、模糊测试数据生成方法；按照基于HTTP协议的Web应用安全性测试的研究思路,结合Web应用的特点,探讨了Web应用的访问原理、通信协议、HTTP的请求和响应以及Web应用安全漏洞及其攻击原理；重点研究了Web应用模糊测试数据的生成方法,针对常见的Web应用安全漏洞模仿攻击者设计出不同的模糊数据和具体的模糊测试漏洞检测方案,并建立相应的模糊数据文件。在方案的基础上,本文使用C#语言开发了图形用户界面的Web应用模糊测试工具——WFT。WFT可供用户自主生成Web应用模糊测试输入,选择模糊测试的类型,执行测试并捕捉Web应用模糊测试结果。目前,WFT代码的开发工作基本完成,本文选取两个案例,使用WFT分别对某远程Web应用和搭建在VMware虚拟机的某Web应用进行模糊测试,并分析测试结果,从而表明了基于模糊测试方法的Web应用安全性测试技术的有效性。