Согласен, Burp Suite и Nmap по-прежнему мастхэв. Metasploit классно подходит для быстрой проверки, но иногда хватает просто сканеров. OWASP ZAP реально выручает, особенно на старте, когда нужна автоматизация без заморочек. Kali удобен, но обновления иногда подводят — без них вообще работать опасно. Главное — не забывать про договор и рамки, иначе можно сильно обжечься, даже если тулзы крутые.