É so ferramenta. Duvido vc fazer um pentest sem usar um burp suite, kali linux ou qualquer outra ferramenta.
Pelo visto você não sabe o que significa "só". E eu que duvido você aprender a usar BurpSuite, Kali e fazer um pentest só com esse conhecimento insignificante.
Mas um pentest de verdade, não adianta rodar ferramenta em site aleatório na internet que isso não é pentest. Empresa que contrata pentest já tem alguma maturidade de segurança, não é como o WordPress configurado pelo Juninho freelancer de 15 anos.
Falar é fácil. Quero ver fazer de verdade, na vida real, com um cliente real e apresentar um relatório que seja realmente útil para o cliente.
Diferente de certos charlatães que só roda ferramenta e coloca no relatório os resultados dela... Isso não é pentest de verdade, o idiota que faz isso nem sequer sabe o que é pentest.
E só para terminar: eu sei o que é um pentest de verdade, eu sei o que profissionais da área precisam saber, eu sei o que as empresas exigem/esperam de um profissional de segurança.
Vou repetir: eu sei. Não é um chute, não é uma hipótese, não tirei da imaginação. Eu trabalho na área e conheço muita gente que trabalha também.
Tá achando que vai aprender a usar burp e Kali e fazer algo de útil só aprendendo a rodar ferramenta? Tira o cavalinho da chuva, iludido.