XSpear

paros：基于Java的HTTP/HTTPS代理，用于评估Web应用程序漏洞。支持动态编辑/查看HTTP消息、spider、客户端证书、代理链接、智能扫描XSS和SQLI等。
hoppy：一个python脚本，用于测试HTTP方法的配置问题，以泄漏信息或查看是否启用了这些方法。
pmcma：自动利用无效的内存写入（这是可写部分溢出、格式字符串丢失、整数溢出、变量滥用或任何其他类型的内存损坏的后果）。
brutemap：渗透测试工具，自动测试帐户到网站的登录页面。
tachyon-scanner：快速多线程Web发现工具。
fuzzdb2：一个扩展fuzzdb的项目，由于原项目在google托管，且已经停止更新，遂发起这个项目。
ct-exposer：通过搜索证书透明日志发现子域的OSInt工具
sfuzz：简单的引信。