本发明公开了一种基于代理模式的被动式漏洞扫描方法及系统，属于软件安全漏洞扫描领域。该被动式漏洞扫描方法核心思想是扫描器端建立一个HTTP/HTTPS代理模块，监听浏览器客户端发送过来的所有HTTP流量，把所有的请求数据包按照先后顺序保存进队列管理模块中，漏洞扫描模块从队列管理模块中获取HTTP请求数据，结合数据通信模块进行分析，然后进行漏洞挖掘。因此，本发明提出的被动式漏洞扫描方法，不采用爬虫功能获取网站的相关URL资源，而是通过HTTP/HTTPS代理模块操作的方式，不仅能够获得到应用系统完整的URL资源及参数，还能获取客户端请求的HTTP头和数据信息，为后续精准的漏洞挖掘提供了可能。