本发明公开一种基于状态偏离分析的访问控制漏洞检测方法及系统，该方法包括：将Web应用程序的源代码作为输入，通过静态分析提取出站点地图以及代码中包含的预期行为逻辑，然后将生成的站点地图作为动态分析的引导，并输入多角色多用户的登录凭据，用以获得不同登录状态下的HTTP请求与响应；使用有限状态机FSM对Web应用程序进行建模，将访问控制漏洞的发现形式化为预期FSM行为模型和实际FSM行为模型之间的差异性比对，识别出访问控制漏洞并生成漏洞报告。本发明能够检测出静态分析难以发现的复杂逻辑，而且指向性的功能测试也会使得检测效率大幅度提高，能够实现全路径覆盖。