B-XSSRF

fuzzdb：应用程序故障注入测试的攻击发现模式字典
wafw00f：识别和识别保护网站的Web应用程序防火墙（WAF）产品。
Metasploit：用于开发、测试和使用漏洞代码的高级开源平台
jSQL Injection：一个用于SQL数据库自动注入的Java应用程序。
twint：一个高级的Twitter抓取&；OSINT工具，用Python编写，不使用Twitter的API，允许你抓取用户的追随者、关注者、Tweets等等，同时避开大多数API限制。
powerfuzzer：PowerFuzzer是一种高度自动化的网络引信，基于许多其他可用的开源引信（包括cfuzzer、fuzzled、fuzzer.pl、jbrofuzz、webscarab、wapiti、socket fuzzer）。它可以检测XSS、注入（SQL、LDAP、命令、代码、XPath）等。
krbrelayx：Kerberos无约束委派滥用工具包。
dnstracer：确定给定DNS服务器从何处获取信息，并跟踪DNS服务器链