Sì, i tools tra di loro vanno bene. Metasploit è più incentrato sulle vulnerabilità network o su CVE specifiche, ma se si presenta l'opportunità fa sicuramente la differenza. Nikto è ottimo, forse un po' troppo rumoroso, ma se il target in questione non patisce è un ottimo tool per enumerare e trovare misconfiguration. Burp Pro è il must have, si potrebbe parlare per ore delle mille funzionalità grazie alle tante estensioni.
Un altro tool che puoi utilizzare per testare le vulnerabilità SQL Injection in maniera più precisa degli altri tool è sqlmap, funziona molto bene e ha una lista molto completa di SQL injection per diverse tipologie di DB.
Per testare siti CMS ti consiglio di cercare anche per tools specifici per quel CMS, come ad esempio magescan per i siti "Magento", wpscan per i wordpress e via dicendo.
Se puoi devi fare un Vulnerability Assesment puoi sempre optare per la versione community di Nessus, uno dei migliori (se non il migliore) VA scanner in circolazione
Un altro tool che puoi utilizzare per testare le vulnerabilità SQL Injection in maniera più precisa degli altri tool è sqlmap, funziona molto bene e ha una lista molto completa di SQL injection per diverse tipologie di DB.
Per testare siti CMS ti consiglio di cercare anche per tools specifici per quel CMS, come ad esempio magescan per i siti "Magento", wpscan per i wordpress e via dicendo.
Se puoi devi fare un Vulnerability Assesment puoi sempre optare per la versione community di Nessus, uno dei migliori (se non il migliore) VA scanner in circolazione