W trakcie testów penetracyjnych trzeba robić notatki, choćby po to, by później móc opisać swoje działania. Wszystkie akcje można rejestrować (i jest to robione) przy pomocy narzędzi takich jak WebScarab, Burp czy Fiddler (osobiście preferuję tego ostatniego), ale to nie wystarczy. Cały czas szukam metody, która jest najbardziej efektywna (dla mnie), a "klasyczne" notatki wygodne i efektywne (znów: dla mnie) nie są. W chwili obecnej intensywnie używam FreeMind do notatek z testów aplikacji (kiedyś może pokażę przykłady notatek w tej formie). Dodatkowo Fiddler pozwala na "oznaczanie" wybranych sesji (zestaw: request, response) kolorami, co ułatwia oznaczenie interesujących elementów testu. Obecnie pojawiła się nowa wersja (na razie beta), która ma coś, o co już byłem skłonny sam napisać: Support for commenting on sessions :)
Może realne przykłady pomogą.