渗透测试工具会自动搜索漏洞，这避免了手工为每种类型的漏洞构建上百个甚至上千个测试所带来的重复和乏味的工作。Web应用的常见自动化安全测试工具一般会称为Web应用或Web安全扫描器。这些扫描器可以很容易地测试应用程序以发现漏洞。对于目标应用，它们会有一些预定义的测试用例，所以用户只需要配置一下扫描器并让它测试应用即可。一旦扫描器完成测试，它会报告所探测到的漏洞。大多数的扫描器都是商业产品，尽管也有免费的应用程序扫描器，但是与商用版本相比，它们缺少大多数的功能所以用的很有限。

漏洞探测的局限性

渗透测试和静态代码分析可以是手动的也可以是自动化的。因为手动测试或检查需要特殊的安全资源并且很费时间，所以对于Web应用的开发人员来说自动化工具是常见的选择。当考虑漏洞检测工具的局限性时，很重要的一点就是安全测试是很困难的。确实，衡量应用程序的安全性是很有挑战性的：尽管发现一些漏洞可能很容易，但是保证应用没有漏洞是困难的。1

渗透测试和静态代码分析工具都有其固有的局限性。渗透测试依赖于有效地代码执行，但是在实践中，漏洞识别时只会检查Web应用的输出。所以，缺少查看应用的内部行为会限制渗透测试的有效性。