webslayer

kolkata：一个用Perl编写的Web应用程序指纹引擎，它结合了密码技术和IDS规避。
webenum：工具使用动态生成的查询等枚举HTTP响应。对于针对Web服务器的渗透测试很有用。
python-arsenic：异步和异步兼容框架的异步WebDriver实现。
中国蚁剑AntSword：优雅强大的跨平台网站管理工具，WebShell管理工具
paros：基于Java的HTTP/HTTPS代理，用于评估Web应用程序漏洞。支持动态编辑/查看HTTP消息、spider、客户端证书、代理链接、智能扫描XSS和SQLI等。
WhatWeb：下一代网络扫描器，用于识别正在运行的网站所使用的技术栈。
zaproxy：用于在Web应用程序中查找漏洞的集成渗透测试工具
lfi-sploiter：此工具帮助您利用LFI（本地文件包含）漏洞。在发现后，只需将受影响的URL和易受攻击的参数传递给该工具。您还可以使用此工具扫描URL中的LFI漏洞。