Abbiamo fatto affidamento sulla nostra ricerca sugli strumenti di scansione delle vulnerabilità e sul DAST per selezionare i principali strumenti DAST open source e le versioni gratuite di software DAST proprietario. Consulta la nostra motivazione seguendo i link sui nomi dei prodotti:
Con l'aumento dei costi e della frequenza degli attacchi informatici, le aziende stanno adottando sempre più strumenti DAST per migliorare la propria postura di sicurezza.
Il software DAST open source o gratuito è il punto di ingresso a costo più basso per il software DAST e può essere adatto per
- Piccole e medie imprese (PMI)
- aziende che iniziano il loro percorso di cybersecurity
- aziende che cercano strumenti DAST aggiuntivi per integrare la propria postura di cybersecurity
Strumenti DAST gratuiti
Ordinamento: In base al numero di stelle su GitHub.
Sorgenti: L'organizzazione OWASP mantiene un elenco di strumenti DAST, molti con versioni gratuite (controlla la colonna "Licenza").6
Criteri di inclusione per:
- Progetti open source: 900+ stelle su GitHub
- Software proprietario: Deve essere un pacchetto gratuito fornito da un fornitore di software DAST
ZAP
ZAP è lo strumento DAST open source più utilizzato in base alle stelle su GitHub. Copre la scansione automatizzata delle vulnerabilità, il test manuale di penetrazione delle applicazioni web e il test delle API REST, rendendolo l'opzione predefinita pratica per i team nuovi al DAST.
ZAP funziona come un proxy trasparente, intercettando il traffico tra un browser e un'applicazione web per l'analisi in tempo reale, e può anche essere eseguito in modalità di scansione attiva contro regole di vulnerabilità predefinite. È mantenuto dalla comunità sotto OWASP, sviluppato attivamente e dispone di un ampio ecosistema di componenti aggiuntivi e documentazione.
ZAP ha aggiunto l'integrazione di prima fase con il OWASP PenTest Kit (PTK), un'estensione del browser che ora è preinstallata nei browser avviati da ZAP. Ciò abilita flussi di lavoro di test delle sessioni autenticate, particolarmente rilevanti per le applicazioni a pagina singola, collegando lo stato della sessione a livello di browser direttamente alla pipeline di scansione di ZAP.
Nikto
Nikto è uno scanner di server web open source che testa file e CGI pericolosi, software server obsoleto, configurazioni errate e altri problemi comuni. È solo a riga di comando senza interfaccia grafica.
Aggiornamenti recenti:
- Scansioni significativamente più veloci
- Nuovo linguaggio specifico di dominio (DSL) per definire i controlli
- Cambiamenti nei formati di rapporto; i cookie sono abilitati per impostazione predefinita
- User-Agent randomizzato per ridurre il fingerprinting
- Riscritto il modulo di test LFI (local file inclusion)
- Licenza cambiata in GPLv37
Limitazione: Nessuna GUI; opera interamente dalla riga di comando, il che aumenta la barriera per gli utenti non tecnici.
Arachni
Il repository GitHub di Arachni ora segnala esplicitamente il progetto come obsoleto. La data dell'ultimo rilascio è il 2022 (era v1.6.1.3) e il progetto non è più mantenuto attivamente. Il suo design modulare e le capacità avanzate di crawling erano notevoli durante gli anni di attività, ma i team dovrebbero considerarlo come fine vita e valutare ZAP o Wapiti come sostituti.
OpenVAS
OpenVAS è uno scanner di vulnerabilità open source progettato per rilevare problemi di sicurezza su sistemi informatici e reti, formando il nucleo del framework Greenbone Vulnerability Management (GVM). Scansiona CVE noti, configurazioni errate e software obsoleto sia in ambienti piccoli che aziendali.
Nota di classificazione: OpenVAS è principalmente uno scanner di vulnerabilità di rete e host, non uno strumento DAST per applicazioni web nel senso tradizionale. Appartiene a questo elenco come strumento adiacente frequentemente utilizzato, ma non sostituisce ZAP o Wapiti per il test dinamico specifico per le applicazioni web (iniezione di moduli, gestione delle sessioni, logica lato client). Usalo per la copertura host/rete; usa ZAP o Wapiti per la copertura della superficie delle applicazioni web.
Wapiti
Wapiti è uno scanner di vulnerabilità web black-box. Funziona esplorando un'applicazione web distribuita, estraendo collegamenti, moduli e script, e quindi iniettando payload nei parametri scoperti per rilevare comportamenti anomali dell'applicazione che indicano vulnerabilità. Supporta anche una modalità passiva per l'analisi del traffico senza fuzzing attivo.
Wapiti supporta script personalizzati per estendere le sue capacità di rilevamento delle vulnerabilità, rendendolo utile in ambienti specializzati in cui il set di regole predefinito necessita di integrazione.
Strumenti proprietari che sono gratuiti per progetti open source
CI Fuzz (Code Intelligence)
Uno strumento di test fuzz a riga di comando focalizzato sulle applicazioni incorporate, principalmente nei contesti automobilistici e dei dispositivi medici. Gratuito per i progetti open source.
StackHawk (HawkScan)
StackHawk è lo strumento di test di sicurezza delle API gratuito più consolidato in questo elenco e uno dei pochi prodotti DAST commerciali con test API dedicati come focus principale. I maintainer di progetti open source possono utilizzarlo gratuitamente.
Il posizionamento attuale della piattaforma di StackHawk si è espanso oltre il test solo API per includere la scoperta della superficie di attacco dal codice sorgente, il test in runtime e le capacità di Modern AJAX Spider (crawling consapevole del framework SPA). Il livello gratuito per OSS rimane disponibile mentre la piattaforma commerciale cresce intorno ad esso.
Ultime release:
- v5.3.0 (17 febbraio 2026): Aggiunta scansione JSON-RPC; riscritto il Modern AJAX Spider per la consapevolezza del framework SPA; aggiunta rilevazione sink DOM XSS; migrato a Chrome/Puppeteer per l'automazione del browser; inizializzazione più veloce
- v5.2.0 (15 gennaio 2026): Migliorato il flusso di lavoro di triage degli avvisi; ridotta la percentuale di falsi positivi SQLi8
Strumenti proprietari con edizioni community gratuite
Per ulteriori informazioni su questi strumenti, consulta alternative a Tenable Nessus o un elenco completo di strumenti DAST.
Altri strumenti di sicurezza delle applicazioni gratuiti
DAST è una componente di un programma di sicurezza delle applicazioni più ampio. Gli strumenti SAST open source e gratuiti forniscono analisi statica complementare, individuando problemi a livello di codice che DAST non può vedere in runtime. Una postura di sicurezza matura combina entrambi.
Nel 2026, il mercato si sta muovendo verso la correlazione dei risultati DAST e SAST, evidenziando una vulnerabilità in runtime e rintracciandola fino alla posizione specifica del codice simultaneamente. "AI Security Fabric" di Snyk è un esempio di questa direzione che diventa una funzionalità del prodotto piuttosto che un processo manuale.9
Vantaggi degli strumenti DAST open source
Offrono un modo rapido ed economico per affrontare la minaccia attuale da parte di attori esterni fornendo capacità di test accessibili a organizzazioni di tutte le dimensioni e budget:
- Costo iniziale inferiore: Nessuna negoziazione di licenze o processo di approvvigionamento. Scarica, configura e scansiona.
- Implementazione rapida: Per i team senza una pipeline di test di sicurezza consolidata, uno strumento come ZAP o Nikto può essere in esecuzione su un ambiente di staging entro poche ore dalla decisione di testare.
- Configurazione più semplice per casi d'uso standard: Diversi strumenti in questo elenco funzionano bene fuori dalla scatola per modelli comuni di applicazioni web senza richiedere una sintonizzazione approfondita.
- Comunità attive: Gli strumenti più consolidati (in particolare ZAP) hanno grandi comunità di utenti, documentazione pubblica ed ecosistemi di componenti aggiuntivi mantenuti. I forum della comunità sostituiscono il supporto del fornitore che viene fornito con gli strumenti a pagamento.
- Nessun vendor lock-in: I risultati sono tuoi. L'integrazione con le pipeline CI/CD è flessibile poiché gli strumenti sono aperti e scriptabili.
Raccomandazioni per la scelta di uno strumento DAST open source
Puoi provare facilmente queste soluzioni in esecuzioni di test sulle applicazioni della tua azienda e confrontare le alternative. È importante misurare questi per diverse soluzioni:
- % di vulnerabilità correttamente identificate
- % di falsi positivi in tutte le vulnerabilità identificate
- Linee guida per la rimedio: Quanto è utile lo strumento nel descrivere come risolvere i problemi?
- Integrazione CI/CD: Può essere eseguito in modalità headless in una pipeline senza intervento manuale?
- Velocità di scansione: Se blocca le distribuzioni, una scansione di 45 minuti su un'applicazione grande è un problema di flusso di lavoro
- Utilizzo delle risorse: Le scansioni attive approfondite sono computazionalmente intensive; assicurati che l'infrastruttura di test sia dimensionata correttamente
- Personalizzazione: Lo strumento supporta estensioni o regole personalizzate per lo stack tecnologico specifico della tua applicazione?
Perché investire in DAST?
DAST individua una classe di vulnerabilità che l'analisi statica e la revisione del codice perdono regolarmente, in particolare problemi che si manifestano solo quando l'applicazione è in esecuzione ed elabora richieste reali. Le debolezze di autenticazione, i difetti di gestione delle sessioni e le configurazioni errate nell'infrastruttura distribuita sono gli esempi più comuni.
I tre vettori di attacco principali che le organizzazioni affrontano sono credenziali compromesse, phishing e sfruttamento delle vulnerabilità. I dati non crittografati in transito si trovano all'intersezione di tutti e tre. DAST testa direttamente:
- Se i dati sensibili sono esposti in transito
- Se i token di sessione possono essere dirottati o falsificati
- Se i controlli di autenticazione (politiche delle password, blocco dell'account, controlli di autorizzazione) resistono alla manipolazione attiva
Le conseguenze di fallimenti in queste aree, come furti finanziari, esposizione di PII e interruzioni operative, sono ben documentate e i costi aumentano di anno in anno.
Altro su DAST e test AppSec
- Top 10 Strumenti di Sicurezza delle Applicazioni
- Top 10 Soluzioni PAM Gratuite
- Casi d'uso DAST, Esempi, Pro e Contro
- Strumenti IAST
Cita questa ricerca
Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.
@misc{dilmegani2026,
author = {Dilmegani, Cem and Sezer, Sena},
title = {{Top 10 Strumenti DAST Open Source / Gratuiti Confrontati}},
year = {2026},
month = feb,
howpublished = {\url{https://aimultiple.com/free-dast-tools}},
note = {AIMultiple. Consultato il 26 Febbraio 2026}
}
Sii il primo a commentare
Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.