Wir haben auf unserer Forschung zu Schwachstellenscan-Tools und DAST aufgebaut, um führende Open-Source-DAST-Tools und kostenlose Versionen von proprietärer DAST-Software auszuwählen. Sehen Sie unsere Begründung, indem Sie den Links zu Produktnamen folgen:
Da die Kosten und Häufigkeit von Cyberangriffen steigen, setzen Unternehmen zunehmend DAST-Tools ein, um ihre Sicherheitslage zu verbessern.
Open Source oder kostenlose DAST-Software ist der kostengünstigste Einstieg in DAST-Software und kann geeignet sein für
- KMU
- Unternehmen, die ihre Cybersicherheitsreise beginnen
- Unternehmen, die nach zusätzlichen DAST-Tools suchen, um ihre Cybersicherheitslage zu ergänzen
Kostenlose DAST-Tools
Sortierung: Nach Anzahl der Sterne auf GitHub.
Quellen: Die OWASP-Organisation pflegt eine Liste von DAST-Tools, von denen viele kostenlose Versionen haben (prüfen Sie die Spalte „Lizenz").6
Aufnahmekriterien für:
- Open-Source-Projekte: 900+ Sterne auf GitHub
- Proprietäre Software: Muss ein kostenlos zu nutzendes Paket sein, das von einem DAST-Software-Anbieter bereitgestellt wird
ZAP
ZAP ist das am häufigsten verwendete Open-Source-DAST-Tool nach GitHub-Sternen. Es umfasst automatisiertes Schwachstellenscanning, manuelles Web-App-Pentesting und REST API-Tests und ist damit die praktische Standardwahl für Teams, die neu in DAST sind.
ZAP fungiert als transparenter Proxy, der den Verkehr zwischen einem Browser und einer Webanwendung für die Echtzeitanalyse abfängt, und kann auch im aktiven Scan-Modus gegen vordefinierte Schwachstellenregeln ausgeführt werden. Es wird von der Community unter OWASP gepflegt, aktiv weiterentwickelt und verfügt über ein breites Ökosystem an Add-ons und Dokumentation.
ZAP hat eine erste Integration mit dem OWASP PenTest Kit (PTK) eingeführt, einer Browser-Erweiterung, die nun in von ZAP gestarteten Browsern vorinstalliert ist. Dies ermöglicht Workflows für die Authentifizierungssitzungstests, die insbesondere für Single-Page-Anwendungen relevant sind, indem der Sitzungsstatus auf Browser-Ebene direkt in die Scan-Pipeline von ZAP integriert wird.
Nikto
Nikto ist ein Open-Source-Webserver-Scanner, der auf gefährliche Dateien und CGIs, veraltete Server-Software, Fehlkonfigurationen und andere häufige Probleme testet. Es ist ausschließlich über die Befehlszeile bedienbar und verfügt über keine grafische Benutzeroberfläche.
Neueste Updates:
- Deutlich schnellere Scans
- Neue domänenspezifische Sprache (DSL) zur Definition von Checks
- Änderungen des Berichtsformats; Cookies standardmäßig aktiviert
- Randomisierter User-Agent zur Verringerung des Fingerabdrucks
- Neu geschriebenes LFI-Modul (Local File Inclusion) zum Testen
- Lizenz auf GPLv3 geändert7
Einschränkung: Keine GUI; arbeitet ausschließlich über die Befehlszeile, was die Hürde für nicht-technische Benutzer erhöht.
Arachni
Arachni’s GitHub-Repository markiert das Projekt nun explizit als veraltet. Das letzte Release-Datum ist 2022 (Ära v1.6.1.3), und das Projekt wird nicht mehr aktiv gepflegt. Sein modulares Design und seine fortschrittlichen Crawling-Fähigkeiten waren in seinen aktiven Jahren bemerkenswert, aber Teams sollten es als „End of Life" betrachten und ZAP oder Wapiti als Ersatz bewerten.
OpenVAS
OpenVAS ist ein Open-Source-Schwachstellenscanner, der entwickelt wurde, um Sicherheitsprobleme in Computersystemen und Netzwerken zu erkennen, und bildet das Kernstück des Greenbone Vulnerability Management (GVM)-Frameworks. Es scannt nach bekannten CVEs, Fehlkonfigurationen und veralteter Software in kleinen und unternehmensweiten Umgebungen.
Klassifizierungshinweis: OpenVAS ist primär ein Netzwerk- und Host-Schwachstellenscanner, kein Webanwendungs-DAST-Tool im traditionellen Sinne. Es gehört in diese Liste als häufig genutztes angrenzendes Tool, ersetzt aber nicht ZAP oder Wapiti für webanwendungsspezifische dynamische Tests (Formular-Injektion, Sitzungsverwaltung, Client-seitige Logik). Verwenden Sie es für Host-/Netzwerk-Abdeckung; verwenden Sie ZAP oder Wapiti für die Abdeckung der Webanwendungsoberfläche.
Wapiti
Wapiti ist ein Black-Box-Web-Schwachstellenscanner. Es funktioniert, indem es eine bereitgestellte Webanwendung crawlt, Links, Formulare und Skripte extrahiert und dann Payloads in entdeckte Parameter injiziert, um abnormales Anwendungsverhalten zu erkennen, das auf Schwachstellen hinweist. Es unterstützt auch einen passiven Modus für die Verkehrsanalyse ohne aktives Fuzzing.
Wapiti unterstützt benutzerdefinierte Skripte, um seine Schwachstellenerkennungsfähigkeiten zu erweitern, was es in spezialisierten Umgebungen nützlich macht, in denen der Standard-Regelsatz erweitert werden muss.
Proprietäre Tools, die für Open-Source-Projekte kostenlos sind
CI Fuzz (Code Intelligence)
Ein Befehlszeilen-Fuzzing-Tool, das sich auf eingebettete Anwendungen konzentriert, hauptsächlich im Kontext von Automobil- und Medizinprodukten. Kostenlos für Open-Source-Projekte.
StackHawk (HawkScan)
StackHawk ist das etablierteste kostenlose API-Sicherheitstool in dieser Liste und eines der wenigen kommerziellen DAST-Produkte, bei denen dedizierte API-Tests im Mittelpunkt stehen. Maintainer von Open-Source-Projekten können es kostenlos nutzen.
StackHawk’s aktuelle Plattformpositionierung hat sich über API-nur-Tests hinaus erweitert, um die Entdeckung der Angriffsfläche aus dem Quellcode, Runtime-Tests und Modern AJAX Spider-Funktionen (SPA-Framework-bewusstes Crawling) einzuschließen. Die kostenlose OSS-Stufe bleibt verfügbar, während die kommerzielle Plattform darum herum wächst.
Neueste Releases:
- v5.3.0 (17. Februar 2026): Hinzugefügt JSON-RPC-Scanning; Modern AJAX Spider für SPA-Framework-Bewusstsein neu geschrieben; DOM XSS-Sink-Erkennung hinzugefügt; Migration zu Chrome/Puppeteer für Browser-Automatisierung; schnellere Initialisierung
- v5.2.0 (15. Januar 2026): Verbesserter Alert-Triage-Workflow; reduzierte SQLi-Falsch-Positiv-Rate8
Proprietäre Tools mit kostenlosen Community-Editionen
Mehr zu diesen Tools finden Sie unter Tenable Nessus Alternativen oder einer vollständigen Liste von DAST-Tools.
Andere kostenlose Anwendungssicherheitstools
DAST ist eine Komponente eines breiteren Anwendungssicherheitsprogramms. Open-Source- und kostenlose SAST-Tools bieten ergänzende statische Analysen und fangen Probleme auf Code-Ebene auf, die DAST zur Laufzeit nicht sehen kann. Eine ausgereifte Sicherheitslage kombiniert beides.
Im Jahr 2026 bewegt sich der Markt in Richtung der Korrelation von DAST- und SAST-Ergebnissen, wobei eine Laufzeitschwachstelle aufgedeckt und gleichzeitig auf die spezifische Code-Stelle zurückverfolgt wird. Snyks „AI Security Fabric" ist ein Beispiel dafür, wie sich diese Richtung zu einer Produktfunktion entwickelt, anstatt ein manueller Prozess zu sein.9
Vorteile von Open-Source-DAST-Tools
Sie bieten eine schnelle und kosteneffektive Möglichkeit, die aktuelle Bedrohung durch externe Akteure anzugehen, indem sie Testfunktionen für Organisationen aller Größen und Budgets zugänglich machen:
- Niedrigere Vorabkosten: Keine Lizenzverhandlung oder Beschaffungsprozess. Herunterladen, konfigurieren und scannen.
- Schnelle Bereitstellung: Für Teams ohne etablierte Sicherheitstest-Pipeline kann ein Tool wie ZAP oder Nikto innerhalb weniger Stunden nach einer Entscheidung zum Testen in einer Staging-Umgebung laufen.
- Einfachere Konfiguration für Standardanwendungsfälle: Mehrere Tools in dieser Liste funktionieren für gängige Webanwendungsmuster sofort gut, ohne tiefgehende Anpassungen zu erfordern.
- Aktive Communities: Die etabliertesten Tools (insbesondere ZAP) haben große Nutzer-Communities, öffentliche Dokumentation und gepflegte Add-on-Ökosysteme. Community-Foren ersetzen den Vendor-Support, der bei bezahlten Tools dabei ist.
- Kein Vendor-Lock-in: Ergebnisse gehören Ihnen. Die Integration in CI/CD-Pipelines ist flexibel, da die Tools offen und skriptfähig sind.
Empfehlungen zur Auswahl eines Open-Source-DAST-Tools
Sie können diese Lösungen in Testläufen an den Anwendungen Ihres Unternehmens einfach ausprobieren und Alternativen vergleichen. Es ist wichtig, diese für verschiedene Lösungen zu messen:
- % der korrekt identifizierten Schwachstellen
- % der Falsch-Positiv-Ergebnisse bei allen identifizierten Schwachstellen
- Abhilfemaßnahmen: Wie nützlich ist das Tool bei der Beschreibung, wie Probleme behoben werden können?
- CI/CD-Integration: Kann es in einer Pipeline ohne manuelle Eingriffe headless ausgeführt werden?
- Scan-Geschwindigkeit: Wenn es Bereitstellungen blockiert, ist ein 45-minütiger Scan an einer großen Anwendung ein Workflow-Problem
- Ressourcennutzung: Tiefe aktive Scans sind rechenintensiv; stellen Sie sicher, dass die Testinfrastruktur angemessen dimensioniert ist
- Anpassung: Unterstützt das Tool Erweiterungen oder benutzerdefinierte Regeln für den spezifischen Technologie-Stack Ihrer Anwendung?
Warum überhaupt in DAST investieren?
DAST fängt eine Klasse von Schwachstellen ein, die statische Analysen und Code-Reviews routinemäßig übersehen, nämlich Probleme, die nur auftreten, wenn die Anwendung läuft und echte Anfragen verarbeitet. Authentifizierungsschwächen, Sitzungsverwaltungsfehler und Fehlkonfigurationen in der bereitgestellten Infrastruktur sind die häufigsten Beispiele.
Die drei primären Angriffsvektoren, mit denen Organisationen konfrontiert sind, sind kompromittierte Anmeldedaten, Phishing und Ausnutzung von Schwachstellen. Unverschlüsselte Daten während der Übertragung liegen an der Schnittstelle aller drei. DAST testet direkt:
- Ob sensible Daten während der Übertragung offengelegt werden
- Ob Sitzungstokens gekapert oder gefälscht werden können
- Ob Authentifizierungssteuerungen (Passwortrichtlinien, Kontosperrung, Autorisierungsprüfungen) gegen aktive Manipulation standhalten
Die Folgen von Ausfällen in diesen Bereichen, wie finanzieller Diebstahl, Offenlegung von PII und Betriebsunterbrechungen, sind gut dokumentiert und steigen von Jahr zu Jahr in den Kosten.
Mehr zu DAST & AppSec-Tests
- Top 10 Anwendungssicherheitstools
- Top 10 kostenlose PAM-Lösungen
- DAST-Anwendungsfälle, Beispiele, Vor- & Nachteile
- IAST-Tools
Diese Forschung zitieren
Wählen Sie das Format, das zu Ihrem Veröffentlichungsort passt. Wenn Sie die Link-Version in Ihr CMS einfügen, bleibt der Backlink erhalten.
@misc{dilmegani2026,
author = {Dilmegani, Cem and Sezer, Sena},
title = {{Top 10 Open Source / Kostenlose DAST-Tools im Vergleich}},
year = {2026},
month = feb,
howpublished = {\url{https://aimultiple.com/free-dast-tools}},
note = {AIMultiple. Abgerufen am 26. Februar 2026}
}
Seien Sie der Erste, der kommentiert
Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich. Kommentare werden in ihrer Originalsprache belassen.