本发明提出一种基于动态测试的文件上传漏洞挖掘方法和系统。其中方法包括：步骤S1、采用动态爬虫进行文件上传表单的信息收集，生成文件上传表单的配置文件；步骤S2、对文件上传请求报文的突变进行约束，包括：采用探测反馈机制生成的文件上传限制名单进行变异规则的第一层约束；设置基于不可执行文件属性组合关系的文件上传请求报文的变异规则；步骤S3、对所述文件上传请求报文进行构造与发送；步骤S4、文件可执行性验证。本发明提出的方案能够实现覆盖全面，准确、高效、低人工干预的挖掘Web应用系统中的文件上传漏洞，能覆盖Web应用系统中的所有文件上传表单，有效的避免无效测试用例的生成，极大的节省文件上传漏洞挖掘的时间。