寫一次回答可以貼到兩個問題:P
如果要免費工具,用 Paros
http://www.parosproxy.org/index.shtml
不過你的主機要好一點,而且這軟體狀態不是很穩定,最好不要掃太大的站
要錢的話
Acunetix ,最便宜,也是國內盜版最多的 web scanner ,公家單位很多人都用這套
國內很多公司也為了省成本,用這套軟體的掃瞄結果直接混充滲透測試報告
效果普普,誤判和漏判都很高,看報告的人最好要有能力分析和辨別誤判的情形
(當然漏判的你沒辦法)
比較好一點的
HP (SPI Dynamics) WebInspect
IBM (Watchfire) AppScan
在掃瞄能力上、使用者操作和直接驗證弱點方面,都作得很不錯,
前面提到的 Acunetix 記得就是跟其中一家買技術。
據說前者的功能未來會整進HP Mercury 裏
後者的功能會整進 IBM Rational