DOMをガンガン書き換えたり、非同期通信をガンガンしたりするJSを多様したアプリケーションの脆弱性診断ツールがgoogleの中の人からリリースされているようです。(すでにblogでよく取り上げられていますが。)
ただし、若干警告が冗長にでてくる、ということも聞くのである程度使ってみて評価する必要があるかな、とおもっています。
また、このツールだけではなくparosなどいくつかのツールを並行してつかっていって総合的に判断するというのがセキュリティチェックでは重要なのではないでしょうか

Moongift記事
http://www.moongift.jp/2008/07/ratproxy/

下記のblogでは実際のインストールしたレビューが記載されてます
http://dotred5.blogspot.com/2008/07/ratproxy.html
http://dotred5.blogspot.com/2008/07/ratproxy_05.html