Google hat einen Scanner namens skipfish veröffentlicht, mit dem sich die Sicherheit von Webapplikationen testen lässt. Das Programm ist reines C und soll auf allen Plattformen laufen. Unter Windows benötigt man Cygwin. Unter Ubuntu habe ich es gerade getestet. Dort müssen die Pakete libidn11-dev, libssl-dev installiert sein.
Das Tool entspricht nicht den Anforderungen WASC Web Application Security Scanner Evaluation Criteria. Hier findet man übrigens noch eine Menge anderer Scanner.
Die Resultate des Sicherheits-Scans werden mittels HTML und viel Javascript präsentiert. Genauere Information zur Installation und Benutzung unter: http://code.google.com/p/skipfish/wiki/SkipfishDoc
