XSpider видит мало
Возможность применения всяких штук типа unixtank.c он не определит. А вот очередную описанную в свежем багтраке псевдоуязвимость "не воспроизводимую в реальных условиях" (это реальная цитата, кажется чего-то про Apache там описывалось) - найдёт.