Идёшь сюда vulnhub.com, ищешь виртуалки с вебом, гуглишь прохождение. Там и последовательность пентеста увидишь и весь инструментарий.

https://github.com/andresriancho/w3af этим можешь просканить сайт, он вроде присутствует в кали

Лучше конечно руками и головой поработать, здесь тебе помогут:

https://github.com/qazbnm456/awesome-web-security

https://www.owasp.org/images/9/96/OW...10-2017-ru.pdf

http://www.vulnerabilityassessment.co.uk/Penetration Test.html

Вот методология по pentest.

Изучи её и по ней желательно работать если нету своей ( у меня допустим есть свои)

Взгляни сюда , здесь инструменты для обеспечения безопасности и проведения пентеста. Там подробно все расписано и для Kali Linux

Для того чтобы провести аудит безопасности, необходимо понимать что ты делаешь и для чего, какие уязвимости ищешь и чем они опасны, методы эксплуатирования этих уязвимостей. Самостоятельно ты, не обладая достаточными знаниями, не сможешь провести достаточно эфективный аудит. Мой совет - это обратиться к специалисту по ИБ. Но если нет денег или хочешь провести его самостоятельно, то используй сканеры типа nikto, skipfish, owasp-zap.