摘要：Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及，攻击者越来越多地利用它的漏洞实现恶意攻击，Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑，提出了其相关资源软件攻击面的形式化描述方法，构造了基于软件攻击面的攻击图模型，在此基础上，实现对Web应用的安全评估。本文构造的安全评估模型，在现有的通用漏洞检测模型基础上，引入业务逻辑安全性关联分析，解决了现有检测模型业务逻辑安全检测不足的缺陷，实现了Web应用快速、全面的安全评估。

关键词：web应用 软件攻击面 攻击图 安全评估 

单位：中国工程物理研究院计算机应用研究所 四川绵阳621900