Есть несколько бесплатных инструментов для автоматического обнаружения уязвимостей.
Skipfish - автоматический сканер веб-приложений с открытым исходным кодом. http://code.google.com/p/skipfish/ Активно разрабатывается и поддерживается
GrendelScan - автоматический сканер веб-приложений с открытым исходным кодом. http://grendel-scan.com/
Netsparker Community Edition http://www.mavitunasecurity.com/communityedition/ Бесплатная ограниченная версия Netsparker
RatProxy Неперехватывающий прокси, который выполняет обнаружение уязвимостей http://code.google.com/p/ratproxy/
Вот несколько примеров, с которых вы можете начать.
Лучшим подходом является выполнение ручного тестирования и использование автоматизированного тестирования, чтобы охватить сценарии «низко висящие фрукты».
Попробуйте Skipfish. Установка на windows требует немного дополнительных усилий (нужно использовать Cygwin), но это довольно надежный инструмент.
CAT.NET полезен, но только при запуске из командной строки для больших приложений. Используя плагин Visual Studio, я тоже не могу заставить его работать на дерьме в более крупных проектах.