<p dir="ltr">Off the top of my head, Burp Suite ( <a href="http://portswigger.net/burp/help/target_sitemap_comparingmaps.html">http://portswigger.net/burp/help/target_sitemap_comparingmaps.html</a>) and IBM AppScan Standard support this. Not sure off the top of my head about this feature being in ZAP.</p>

<p dir="ltr">Of course efficacy of such access control analysis depends in part on configuration.</p>
<p dir="ltr">I believe convention in the doc is to avoid listing commercial, non-OWASP tools.</p>
<div class="gmail_quote">On May 31, 2013 8:11 AM, "Ryan Dewhurst" <<a href="mailto:ryandewhurst@gmail.com">ryandewhurst@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hi,<div><br></div><div>On "Top 10 2013-A7-Missing Function Level Access Control" under the "Am I Vulnerable To 'Missing Function Level Access Control'?" section it states "Some proxies support this type of analysis.". - <a href="https://www.owasp.org/index.php/Top_10_2013-A7" target="_blank">https://www.owasp.org/index.php/Top_10_2013-A7</a></div>

<div><br></div><div>Does anyone know which proxies support this kind of analysis? Burp, Zap, others?</div><div><br></div><div>I ask out of personal curiosity but not sure if it is also worth adding which proxies to that text.</div>

<div><br></div><div>Thanks,</div><div>Ryan</div></div>
<br>_______________________________________________<br>
Owasp-topten mailing list<br>
<a href="mailto:Owasp-topten@lists.owasp.org">Owasp-topten@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-topten" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-topten</a><br>
<br></blockquote></div>