Parosproxy.org - Web Application Security
http://www.parosproxy.org/index.shtml

自マシンのプロキシとして動作する脆弱性検査ツールです。
英語版のみですが、まあがんばれば使えます。

• インストール
• localhost:8080をブラウザのプロキシに設定
• テストしたいページにアクセスする
  • さまざまなリクエストパターン（参照系・更新系）を覚えさせるつもりで操作します
• スキャン実行("Tree" -> "Scan Selected Node")
• Apacheであればaccess_logを監視してみるといろんなパターンのURLが入ってくるのが分かります。
• 結果確認。HTML形式のレポートで表示されます。
• 修正、再実行
  • 面白いのは、画面下に警告したリクエストパターンがツリー表示されていて、右クリック⇒ReSendで再実行できる点。修正結果をその場で確認できるので便利です。

XSSの検査には特に役立ちそうでした。