Сколько уже пробовал и смотрел вокруг — реально стоящих инструментов для оценки безопасности веба не так много, как кажется. Вроде бы куча всяких сканеров, комплексных платформ и фреймворков, но на практике многие либо делают поверхностный анализ, либо требуют столько настройки, что проще руками все проверить.

Например, последние пару месяцев юзал Burp Suite Community для быстрых проверок — с ним реально удобно играться с прокси, посмотреть запросы, менять параметры на лету. Правда, бесплатная версия ограничена, и для более глубоких атак надо ломать голову с расширениями или доплачивать. Но что меня раздражает — каждый раз почему-то приходится патчить или искать обновления к плагинам, чтобы нормально работали с современными фреймворками типа React или Vue.

Еще год назад пробовал OWASP ZAP — неплохая штука, особенно на автомате, но по факту много ложных срабатываний, да и не всегда находит то, что реально ломает приложение. Плюс интерфейс оставляет желать лучше. Для автоматизации CI/CD можно прикрутить, но для разового процесса проверки — перебор.

Есть и более специализированные тулзы, например, для сканирования REST API или GraphQL, но они часто платные или очень сложные. В итоге приходиться собирать свой набор: Burp для интерактивных тестов, ZAP под автоматический анализ, плюс парочка скриптов на Python для специфических тестов.