Web应用程序是众多组织进行业务运营和用户服务的重要方式。数据的交互和共享通过Web浏览器实现，由于涉及用户的敏感信息和业务数据，网站和数据库经常成为各种高频Web攻击的目标。随着新型Web攻击不断涌现，传统的Web攻击检测技术不再适用，国内外学者开始采用新兴技术进行攻击检测的研究。通过对近3年国内外文献调研，本文首先从Web攻击过程和相关概念展开叙述，全面分析了目前Web应用程序的攻击现状；其次，从机器学习和深度学习、Web应用防火墙（WAF,Web application firewall）优化和Web蜜罐欺骗技术3个方面总结目前最新的检测方法，并对比分析了不同模型的性能和优势；最后，总结Web攻击检测面临的挑战，并对未来研究进行了展望。