Servizi
Contattaci

Top 10 Strumenti DAST Open Source / Gratuiti Confrontati

Cem Dilmegani
Cem Dilmegani
aggiornato il 26 feb. 2026
Loading Chart

Abbiamo fatto affidamento sulla nostra ricerca sugli strumenti di scansione delle vulnerabilità e sul DAST per selezionare i principali strumenti DAST open source e le versioni gratuite di software DAST proprietario. Consulta la nostra motivazione seguendo i link sui nomi dei prodotti:

Con l'aumento dei costi e della frequenza degli attacchi informatici, le aziende stanno adottando sempre più strumenti DAST per migliorare la propria postura di sicurezza.

Il software DAST open source o gratuito è il punto di ingresso a costo più basso per il software DAST e può essere adatto per

  • Piccole e medie imprese (PMI)
  • aziende che iniziano il loro percorso di cybersecurity
  • aziende che cercano strumenti DAST aggiuntivi per integrare la propria postura di cybersecurity

Strumenti DAST gratuiti

Ordinamento: In base al numero di stelle su GitHub.

Sorgenti: L'organizzazione OWASP mantiene un elenco di strumenti DAST, molti con versioni gratuite (controlla la colonna "Licenza").6

Criteri di inclusione per:

  • Progetti open source: 900+ stelle su GitHub
  • Software proprietario: Deve essere un pacchetto gratuito fornito da un fornitore di software DAST

ZAP

ZAP è lo strumento DAST open source più utilizzato in base alle stelle su GitHub. Copre la scansione automatizzata delle vulnerabilità, il test manuale di penetrazione delle applicazioni web e il test delle API REST, rendendolo l'opzione predefinita pratica per i team nuovi al DAST.

ZAP funziona come un proxy trasparente, intercettando il traffico tra un browser e un'applicazione web per l'analisi in tempo reale, e può anche essere eseguito in modalità di scansione attiva contro regole di vulnerabilità predefinite. È mantenuto dalla comunità sotto OWASP, sviluppato attivamente e dispone di un ampio ecosistema di componenti aggiuntivi e documentazione.

ZAP ha aggiunto l'integrazione di prima fase con il OWASP PenTest Kit (PTK), un'estensione del browser che ora è preinstallata nei browser avviati da ZAP. Ciò abilita flussi di lavoro di test delle sessioni autenticate, particolarmente rilevanti per le applicazioni a pagina singola, collegando lo stato della sessione a livello di browser direttamente alla pipeline di scansione di ZAP.

Nikto

Nikto è uno scanner di server web open source che testa file e CGI pericolosi, software server obsoleto, configurazioni errate e altri problemi comuni. È solo a riga di comando senza interfaccia grafica.

Aggiornamenti recenti:

  • Scansioni significativamente più veloci
  • Nuovo linguaggio specifico di dominio (DSL) per definire i controlli
  • Cambiamenti nei formati di rapporto; i cookie sono abilitati per impostazione predefinita
  • User-Agent randomizzato per ridurre il fingerprinting
  • Riscritto il modulo di test LFI (local file inclusion)
  • Licenza cambiata in GPLv37

Limitazione: Nessuna GUI; opera interamente dalla riga di comando, il che aumenta la barriera per gli utenti non tecnici.

Arachni

Il repository GitHub di Arachni ora segnala esplicitamente il progetto come obsoleto. La data dell'ultimo rilascio è il 2022 (era v1.6.1.3) e il progetto non è più mantenuto attivamente. Il suo design modulare e le capacità avanzate di crawling erano notevoli durante gli anni di attività, ma i team dovrebbero considerarlo come fine vita e valutare ZAP o Wapiti come sostituti.

OpenVAS

OpenVAS è uno scanner di vulnerabilità open source progettato per rilevare problemi di sicurezza su sistemi informatici e reti, formando il nucleo del framework Greenbone Vulnerability Management (GVM). Scansiona CVE noti, configurazioni errate e software obsoleto sia in ambienti piccoli che aziendali.

Nota di classificazione: OpenVAS è principalmente uno scanner di vulnerabilità di rete e host, non uno strumento DAST per applicazioni web nel senso tradizionale. Appartiene a questo elenco come strumento adiacente frequentemente utilizzato, ma non sostituisce ZAP o Wapiti per il test dinamico specifico per le applicazioni web (iniezione di moduli, gestione delle sessioni, logica lato client). Usalo per la copertura host/rete; usa ZAP o Wapiti per la copertura della superficie delle applicazioni web.

Wapiti

Wapiti è uno scanner di vulnerabilità web black-box. Funziona esplorando un'applicazione web distribuita, estraendo collegamenti, moduli e script, e quindi iniettando payload nei parametri scoperti per rilevare comportamenti anomali dell'applicazione che indicano vulnerabilità. Supporta anche una modalità passiva per l'analisi del traffico senza fuzzing attivo.

Wapiti supporta script personalizzati per estendere le sue capacità di rilevamento delle vulnerabilità, rendendolo utile in ambienti specializzati in cui il set di regole predefinito necessita di integrazione.

Strumenti proprietari che sono gratuiti per progetti open source

CI Fuzz (Code Intelligence)

Uno strumento di test fuzz a riga di comando focalizzato sulle applicazioni incorporate, principalmente nei contesti automobilistici e dei dispositivi medici. Gratuito per i progetti open source.

StackHawk (HawkScan)

StackHawk è lo strumento di test di sicurezza delle API gratuito più consolidato in questo elenco e uno dei pochi prodotti DAST commerciali con test API dedicati come focus principale. I maintainer di progetti open source possono utilizzarlo gratuitamente.

Il posizionamento attuale della piattaforma di StackHawk si è espanso oltre il test solo API per includere la scoperta della superficie di attacco dal codice sorgente, il test in runtime e le capacità di Modern AJAX Spider (crawling consapevole del framework SPA). Il livello gratuito per OSS rimane disponibile mentre la piattaforma commerciale cresce intorno ad esso.

Ultime release:

  • v5.3.0 (17 febbraio 2026): Aggiunta scansione JSON-RPC; riscritto il Modern AJAX Spider per la consapevolezza del framework SPA; aggiunta rilevazione sink DOM XSS; migrato a Chrome/Puppeteer per l'automazione del browser; inizializzazione più veloce
  • v5.2.0 (15 gennaio 2026): Migliorato il flusso di lavoro di triage degli avvisi; ridotta la percentuale di falsi positivi SQLi8

Strumenti proprietari con edizioni community gratuite

Per ulteriori informazioni su questi strumenti, consulta alternative a Tenable Nessus o un elenco completo di strumenti DAST.

Altri strumenti di sicurezza delle applicazioni gratuiti

DAST è una componente di un programma di sicurezza delle applicazioni più ampio. Gli strumenti SAST open source e gratuiti forniscono analisi statica complementare, individuando problemi a livello di codice che DAST non può vedere in runtime. Una postura di sicurezza matura combina entrambi.

Nel 2026, il mercato si sta muovendo verso la correlazione dei risultati DAST e SAST, evidenziando una vulnerabilità in runtime e rintracciandola fino alla posizione specifica del codice simultaneamente. "AI Security Fabric" di Snyk è un esempio di questa direzione che diventa una funzionalità del prodotto piuttosto che un processo manuale.9

Vantaggi degli strumenti DAST open source

Offrono un modo rapido ed economico per affrontare la minaccia attuale da parte di attori esterni fornendo capacità di test accessibili a organizzazioni di tutte le dimensioni e budget:

  • Costo iniziale inferiore: Nessuna negoziazione di licenze o processo di approvvigionamento. Scarica, configura e scansiona.
  • Implementazione rapida: Per i team senza una pipeline di test di sicurezza consolidata, uno strumento come ZAP o Nikto può essere in esecuzione su un ambiente di staging entro poche ore dalla decisione di testare.
  • Configurazione più semplice per casi d'uso standard: Diversi strumenti in questo elenco funzionano bene fuori dalla scatola per modelli comuni di applicazioni web senza richiedere una sintonizzazione approfondita.
  • Comunità attive: Gli strumenti più consolidati (in particolare ZAP) hanno grandi comunità di utenti, documentazione pubblica ed ecosistemi di componenti aggiuntivi mantenuti. I forum della comunità sostituiscono il supporto del fornitore che viene fornito con gli strumenti a pagamento.
  • Nessun vendor lock-in: I risultati sono tuoi. L'integrazione con le pipeline CI/CD è flessibile poiché gli strumenti sono aperti e scriptabili.

Raccomandazioni per la scelta di uno strumento DAST open source

Puoi provare facilmente queste soluzioni in esecuzioni di test sulle applicazioni della tua azienda e confrontare le alternative. È importante misurare questi per diverse soluzioni:

  • % di vulnerabilità correttamente identificate
  • % di falsi positivi in tutte le vulnerabilità identificate
  • Linee guida per la rimedio: Quanto è utile lo strumento nel descrivere come risolvere i problemi?
  • Integrazione CI/CD: Può essere eseguito in modalità headless in una pipeline senza intervento manuale?
  • Velocità di scansione: Se blocca le distribuzioni, una scansione di 45 minuti su un'applicazione grande è un problema di flusso di lavoro
  • Utilizzo delle risorse: Le scansioni attive approfondite sono computazionalmente intensive; assicurati che l'infrastruttura di test sia dimensionata correttamente
  • Personalizzazione: Lo strumento supporta estensioni o regole personalizzate per lo stack tecnologico specifico della tua applicazione?
Non perderti i nostri benchmark e approfondimenti basati sui dati. Il pulsante apre Google; selezionare AIMultiple conferma che desideri vedere AIMultiple più spesso nei risultati di ricerca di Google.
GoogleAggiungi come fonte preferita

Perché investire in DAST?

DAST individua una classe di vulnerabilità che l'analisi statica e la revisione del codice perdono regolarmente, in particolare problemi che si manifestano solo quando l'applicazione è in esecuzione ed elabora richieste reali. Le debolezze di autenticazione, i difetti di gestione delle sessioni e le configurazioni errate nell'infrastruttura distribuita sono gli esempi più comuni.

I tre vettori di attacco principali che le organizzazioni affrontano sono credenziali compromesse, phishing e sfruttamento delle vulnerabilità. I dati non crittografati in transito si trovano all'intersezione di tutti e tre. DAST testa direttamente:

  • Se i dati sensibili sono esposti in transito
  • Se i token di sessione possono essere dirottati o falsificati
  • Se i controlli di autenticazione (politiche delle password, blocco dell'account, controlli di autorizzazione) resistono alla manipolazione attiva

Le conseguenze di fallimenti in queste aree, come furti finanziari, esposizione di PII e interruzioni operative, sono ben documentate e i costi aumentano di anno in anno.

Altro su DAST e test AppSec

Cita questa ricerca

Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.

Cem Dilmegani and Sena Sezer (2026) - "Top 10 Strumenti DAST Open Source / Gratuiti Confrontati". Pubblicato online su AIMultiple.com. Consultato il 26 Febbraio 2026, da: https://aimultiple.com/free-dast-tools [Risorsa online]

Dilmegani, C., & Sezer, S. (2026, 26 Febbraio). Top 10 Strumenti DAST Open Source / Gratuiti Confrontati. AIMultiple. https://aimultiple.com/free-dast-tools

@misc{dilmegani2026,
  author = {Dilmegani, Cem and Sezer, Sena},
  title  = {{Top 10 Strumenti DAST Open Source / Gratuiti Confrontati}},
  year   = {2026},
  month  = feb,
  howpublished    = {\url{https://aimultiple.com/free-dast-tools}},
  note   = {AIMultiple. Consultato il 26 Febbraio 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista principale
Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.
Visualizza il profilo completo
Ricercato da
Sena Sezer
Sena Sezer
Analista di settore
Sena è un'analista di settore presso AIMultiple. Ha conseguito la laurea triennale presso l'Università di Bogazici.
Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.

0/450