Утилиты для пентеста — отзывы?

неплохая portswigger.net/burp/

По мне, так вполне не плохие следующие инструменты:
из open source:
w3af
OWASP ZAP
А если именно коммерческий, то:
Acunetix Web Vulnerability Scanner, но он под Windows.

nessus, nexpose

Qualys

Рекомендую обратить внимание на BackTrack.
Это дистрибутив для аудита безопасности.

Уже упоминавшийся Burp Suite - лучшее решение из open source.

Ну и конечно xspider от positive technology )

Работал над одним сайтом, который регулярно подвергался атакам и его приходилось постоянно "поднимать".  Использовал сканеры от Positive Technologies и METASCAN, оба хорошие, но МЕТАСКАН мне понравился больше, там был более понятный интерфейс и довольно подробный отчет о сканирование. Ко всему прочему, просканировал не только на предмет веб уязвимостей, еще проверил системные уязвимости и даже, ради интереса, попробовал побрутить SSH. В общем просканировал всю инфраструктуру и нашел уязвимости в OpenSSH и парочку страниц c XSS, после того как все подправил сайт перестал "падать".