tplmap

docem：将XXE和XSS有效载荷嵌入docx、odt、pptx等（含类固醇的OXML-XEE）。
webexploitationtool：跨平台Web开发工具包。
JShell：一个使用XSS获取JavaScript shell的脚本
wcvs：Web缓存漏洞扫描程序是一个基于Go的CLI工具，用于测试Web缓存中毒。
isr-form：简单的HTML解析工具，它提取所有与表单相关的信息并生成数据报告。允许快速分析数据。
dirscraper：OSINT扫描工具，用于发现和映射在网站上托管的javascript文件中找到的目录。
jaidam：渗透测试工具，将作为域名列表的输入，扫描它们，确定是否使用了Wordpress或Joomla平台，最后使用两个著名的开源工具wpscan和joomscan自动检查它们的Web漏洞。
pblind：几乎没有实用工具来帮助开发盲目的SQL注入漏洞。