Ci sono tonnellate di strumenti ed è davvero una preferenza personale su ciò che si utilizzerà per un pentest. Quindi prova tutti quelli menzionati da me e dagli altri e scegli quelli che ti stanno meglio.
Per la revisione del codice di sicurezza (test whitebox), ti consigliamo di utilizzare RIPS . È il migliore tra quelli che ho provato.
Per fare alcuni test blackbox, hai certamente bisogno di un proxy di intercettazione. Ce ne sono molti, ma ti suggerisco di dare un'occhiata a Fiddler se sei su Windows. Burp / WebScarab / Zed Attack Proxy sono fantastici. Se desideri automatizzare alcuni dei test di iniezione, acquisisci alcuni payload comuni da fuzzdb .
Inoltre, familiarizza con i componenti aggiuntivi del browser come Firebug e gli Strumenti per sviluppatori di Chrome, sono di grande aiuto.
Infine, prova i segnalibri da Apri raccolta di segnalibri di test di penetrazione . È una lista enorme (solo per sapere quanti strumenti ci sono), ma ci sono molte gemme all'interno.