Аннотация:В работе предложен метод поиска уязвимостей авторизации веб-приложений на основе методики «черного ящика». Идея метода состоит в построении и обходе графа сценариев использования, в котором описаны классы возможных запросов к веб-приложению и зависимости между ними. В работе также сформулирован алгоритм построения карт сайта для веб-приложений с динамическим интерфейсом, основанный на комбинации статического и динамического анализа кода веб-страниц. Предложенные идеи реализованы в виде набора инструментальных средств поиска уязвимостей авторизации. Эксперименты, проведенные на реально существующих современных веб-приложениях, показывают применимость предложенных методов, а также увеличение полноты разработанного метода поиска уязвимостей авторизации по сравнению с существующим при сопоставимом количестве ложных срабатываний.