Я работаю в компании, которая тестирует проникновение в веб-приложение как часть своего бизнеса. Мы используем много разных инструментов. Некоторые из них - один из инструментов Ruby для конкретных проектов или в разработанных структурах или прокси-серверах (снова Ruby). Большинство тестирования проникновения в веб-приложение выполняется с использованием webscarab, burpsuite или paros proxy. У всех есть какая-то функция ведения журнала, достаточное количество мощности и недостаток или два.
Я действительно нашел webscarab самым простым в использовании. Но он не обрабатывает VIEWSTATE или делает много для поиска. Мы действительно нашли данные в VIEWSTATE, которых не должно быть, поэтому, когда мы их видим, мы склонны переключаться на другой прокси. Burpsuite - мой следующий выбор. Он обрабатывает VIEWSTATE, но интерфейс требует многого, и его выход в то время как технически более полный - он сохраняет оригинальные и измененные запросы/ответы - сложнее использовать.
К сожалению, ответ на ваш вопрос несколько сложнее, чем просто хороший прокси. Для этого есть нечто большее, чем просто поднять прокси или сканер и позволить им работать.Человек должен проверять все, что находит инструмент, и есть что-то, кроме человека.
tqbf имеет хорошее объяснение этого here.