当今，Web应用已经成为人们获取信息、交流情感、开展工作、处理日常事务等的重要工具。它们改变了、并正在改变着人们的生活方式。为确保Web应用拥有者和使用者的利益必须开发安全可靠的Web应用。随着电子支付、网上银行、社交网站等直接关系人们财产和隐私的Web应用的日益盛行，保障Web应用的安全显得尤为重要。Web应用安全性测试是保证Web应用安全的重要手段，研究Web应用安全性测试意义重大。　　 本文以Web应用安全性测试为中心，就Web应用安全性测试中的几个重要问题进行了较为深入的研究，本文主要贡献可概括如下：　　 1.介绍了Web应用安全性测试的相关知识。讨论了Web应用与用户交互的模型。详细介绍了Web应用的基础协议HTTP协议，指明哪些方面可能会导致Web应用安全问题。　　 2.总结了Web应用测试用例生成技术。文中把现有的Web测试用例生成技术归结为四类：Capture/Replay方法、HTML分析法、源代码分析法、User-session分析法；并对这四类方法展开了详细讨论，最后总结了这四类方法的优缺点，从方法实现的难易程度、覆盖率等方面比较了它们的性能。　　 3.提出了一套在Web应用中检测不可信变量的方法。文中提出了一套新的检测方法。该方法的核心是一个算法，算法分为两阶段，第一阶段提取Web应用中的模块，第二阶段，以模块为单位提取不可信变量。原型工具DUVP实现了本文的检测方案，并在大型Web应用中展开实验。实验结果表明本文的检测方案在发现不可信变量的速度和数量上都要优于以往方法。　　 4.提出了一套基于表单特性检测Web应用安全漏洞的方法。Web应用安全问题主要由不可信内容引起。表单是用户输入不可信内容的主要接口。本文提出了一套通过分析表单特性来检测Web应用中安全漏洞的方法。分析表单和表单中各个域的特性后，借助安全测试专业知识，每个表单域被赋予若干个测试值。采用“基于单测试用例权重”的方法得到了优化的测试用例集后，通过HTTP协议逐个执行测试用例，并基于HTTP响应和测试知识来分析测试结果。原型工具D-WAV实现了本文的方法，D-WAV在现实Web应用中的实验结果表明本文的方法能自动的检测SQLI、XSS等多种Web应用安全漏洞。　　 5.提出了一套跨站点伪造请求(CSRF)安全漏洞的动态检测方法。文中就如何动态检测CSRF安全漏洞提出了一套新的方法。在该方法中，存在一个Web应用信息收集模块，来收集HTTP请求信息和Web应用执行信息。随后，我们把可能发现CSRF安全漏洞的HTTP请求查找出来，以HTTP请求为单位伪造请求；执行伪造请求后，逐个扫描，看在伪造的请求中是否发现了CSRF安全漏洞，并给出发现的漏洞的详细信息。Web应用工具D-CSRF实现了本文的方法。该工具在五个开源程序上的实验结果表明，本文的方法能自动、快速、准确的发现Web应用中存在的CSRF漏洞。