cmsfuzz

xsstracer：检查远程Web服务器的点击劫持、跨帧脚本、跨站点跟踪和主机头注入的python脚本。
lotophagi：一个相对紧凑的Perl脚本，用于扫描远程主机的默认（或通用）LotusNSF和Box数据库。
wapiti：Web应用程序的漏洞扫描程序。它目前搜索漏洞，如XSS、SQL和XPath注入、文件包含、命令执行、LDAP注入、CRLF注入…
ifuzz：一种具有多种选项的二进制文件模糊器。
sfuzz：简单的引信。
subDomainsBrute：用于渗透测试目标域名收集，高并发DNS暴力枚举。
hetty：HTTP安全研究工具包。它的目标是成为商业软件（如Burp Suite Pro）的开源替代品，具有针对infosec和bug bounty社区需求定制的强大功能。
xssscan：用于检测URL中XSS攻击的命令行工具。基于OWASP CRS的modsecurity规则。