I 10 migliori strumenti DAST open source/gratuiti a confronto

Ci siamo basati sulla nostra ricerca sugli strumenti di scansione delle vulnerabilità e sui DAST per selezionare i principali strumenti DAST open source e le versioni gratuite di software DAST proprietari. Per maggiori informazioni, clicca sui link corrispondenti ai nomi dei prodotti:

Con l'aumento dei costi e della frequenza degli attacchi informatici, le aziende stanno adottando sempre più strumenti DAST per rafforzare la propria sicurezza.

Il software DAST open source o gratuito è il punto di ingresso più economico al software DAST e può essere adatto per

• Strade
• aziende che iniziano il loro percorso nella sicurezza informatica
• aziende che cercano ulteriori strumenti DAST per integrare la propria strategia di sicurezza informatica

Strumenti DAST gratuiti

Ordinamento : in base al numero di stelle su GitHub.

Fonti: L'organizzazione OWASP mantiene un elenco di strumenti DAST, molti dei quali con versioni gratuite (controllare la colonna "Licenza"). ⁶

Criteri di inclusione per:

• Progetti open source: oltre 900 stelle su GitHub
• Software proprietario: deve trattarsi di un pacchetto gratuito fornito da un fornitore di software DAST.

ZAP

ZAP è lo strumento DAST open-source più utilizzato dagli utenti più influenti di GitHub. Copre la scansione automatizzata delle vulnerabilità, il penetration testing manuale delle applicazioni web e il test delle API REST, risultando la scelta ideale per i team che si avvicinano al DAST.

ZAP funziona come un proxy trasparente, intercettando il traffico tra un browser e un'applicazione web per l'analisi in tempo reale, e può anche essere eseguito in modalità di scansione attiva rispetto a regole di vulnerabilità predefinite. È gestito dalla community nell'ambito del programma OWASP, è in continuo sviluppo e dispone di un ampio ecosistema di componenti aggiuntivi e documentazione.

ZAP ha aggiunto la prima fase di integrazione con OWASP PenTest Kit (PTK) , un'estensione per browser ora preinstallata nei browser avviati da ZAP. Ciò consente flussi di lavoro di test con sessione autenticata, particolarmente rilevanti per le applicazioni a pagina singola, collegando lo stato della sessione a livello di browser direttamente alla pipeline di scansione di ZAP.

Nikto

Nikto è uno scanner open-source per server web che rileva file e CGI pericolosi, software server obsoleto, configurazioni errate e altri problemi comuni. Funziona esclusivamente da riga di comando, senza interfaccia grafica.

Aggiornamenti recenti:

• Scansioni significativamente più veloci
• Nuovo linguaggio specifico di dominio (DSL) per la definizione dei controlli
• Modifiche al formato del report; cookie abilitati per impostazione predefinita
• User-Agent randomizzato per ridurre il fingerprinting
• Ho riscritto il modulo di test LFI (inclusione di file locali).
• Licenza modificata in GPLv3 ⁷

Limitazioni: assenza di interfaccia grafica; funziona interamente da riga di comando, il che rappresenta una barriera per gli utenti non esperti di informatica.

Aracni

Il repository GitHub di Arachni ora contrassegna esplicitamente il progetto come obsoleto. L'ultima data di rilascio risale al 2022 (versione 1.6.1.3) e il progetto non è più attivamente mantenuto. Il suo design modulare e le sue avanzate capacità di crawling erano notevoli durante gli anni di attività, ma i team dovrebbero considerarlo a fine ciclo di vita e valutare ZAP o Wapiti come alternative.

OpenVAS

OpenVAS è uno scanner di vulnerabilità open-source progettato per rilevare problemi di sicurezza in sistemi e reti informatiche, e costituisce il nucleo del framework Greenbone Vulnerability Management (GVM). Esegue la scansione di CVE noti, configurazioni errate e software obsoleti sia in ambienti di piccole dimensioni che in contesti aziendali di grandi dimensioni.

Nota sulla classificazione: OpenVAS è principalmente uno scanner di vulnerabilità di rete e host, non uno strumento DAST per applicazioni web nel senso tradizionale del termine. Appartiene a questo elenco come strumento complementare di uso frequente, ma non sostituisce ZAP o Wapiti per i test dinamici specifici delle applicazioni web (iniezione di moduli, gestione delle sessioni, logica lato client). Utilizzatelo per la copertura di host/rete; utilizzate ZAP o Wapiti per la copertura della superficie delle applicazioni web.

Wapiti

Wapiti è uno scanner di vulnerabilità web black-box. Funziona eseguendo la scansione di un'applicazione web distribuita, estraendo link, moduli e script, e iniettando payload nei parametri scoperti per rilevare comportamenti anomali dell'applicazione che indicano vulnerabilità. Supporta anche una modalità passiva per l'analisi del traffico senza fuzzing attivo.

Wapiti supporta script personalizzati per estendere le sue capacità di rilevamento delle vulnerabilità, risultando utile in ambienti specializzati in cui è necessario potenziare il set di regole predefinito.

Strumenti proprietari gratuiti per progetti open source

CI Fuzz (Codice Intelligence)

Uno strumento di fuzz testing da riga di comando focalizzato su applicazioni embedded, principalmente in ambito automobilistico e dei dispositivi medicali. Gratuito per i progetti open source.

StackHawk (HawkScan)

StackHawk è lo strumento gratuito per il test di sicurezza delle API più affermato in questo elenco e uno dei pochi prodotti DAST commerciali con un focus principale dedicato al test delle API. I manutentori di progetti open source possono utilizzarlo gratuitamente.

L'attuale posizionamento della piattaforma StackHawk si è ampliato, passando dal semplice test delle API a includere l'individuazione della superficie di attacco dal codice sorgente, i test in fase di esecuzione e le funzionalità di Modern AJAX Spider (crawling compatibile con i framework SPA). Il livello gratuito per il settore open source rimane disponibile, mentre la piattaforma commerciale si sviluppa attorno ad esso.

Uscite recenti:

• v5.3.0 (17 febbraio 2026): Aggiunta la scansione JSON-RPC; riscritto il Modern AJAX Spider per la compatibilità con i framework SPA; aggiunto il rilevamento di sink DOM XSS; migrato a Chrome/Puppeteer per l'automazione del browser; inizializzazione più veloce
• v5.2.0 (15 gennaio 2026): Flusso di lavoro di triage degli avvisi migliorato; tasso di falsi positivi SQLi ridotto. ⁸

Strumenti proprietari con edizioni gratuite per la comunità

Per maggiori informazioni su questi strumenti, consulta le alternative a Tenable Nessus o l'elenco completo degli strumenti DAST .

Altri strumenti gratuiti per la sicurezza delle applicazioni

DAST è una componente di un programma di sicurezza delle applicazioni più ampio. Gli strumenti SAST open source e gratuiti forniscono un'analisi statica complementare, individuando problemi a livello di codice che DAST non è in grado di rilevare in fase di esecuzione. Una strategia di sicurezza matura combina entrambi gli approcci.

Nel 2026, il mercato si sta orientando verso la correlazione dei risultati DAST e SAST, individuando simultaneamente una vulnerabilità in fase di esecuzione e tracciandone la posizione specifica nel codice. "AI Security Fabric" di Snyk è un esempio di come questa tendenza stia diventando una funzionalità del prodotto anziché un processo manuale. ⁹

Vantaggi degli strumenti DAST open-source

Offrono un modo rapido ed economico per affrontare le minacce attuali provenienti da attori esterni, fornendo funzionalità di test accessibili ad organizzazioni di tutte le dimensioni e con budget diversi:

• Costi iniziali ridotti : nessuna negoziazione di licenze o processo di acquisizione. Scarica, configura e scansiona.
• Implementazione rapida: per i team che non dispongono di una pipeline di test di sicurezza consolidata, uno strumento come ZAP o Nikto può essere eseguito su un ambiente di staging entro poche ore dalla decisione di effettuare i test.
• Configurazione più semplice per casi d'uso standard : diversi strumenti in questo elenco funzionano perfettamente fin da subito per i modelli comuni di applicazioni web, senza richiedere una messa a punto approfondita.
• Comunità attive : gli strumenti più consolidati (in particolare ZAP) vantano ampie comunità di utenti, documentazione pubblica ed ecosistemi di componenti aggiuntivi costantemente aggiornati. I forum della community sostituiscono il supporto del fornitore offerto con gli strumenti a pagamento.
• Nessun vincolo con un fornitore specifico : i risultati sono tuoi. L'integrazione con le pipeline CI/CD è flessibile, poiché gli strumenti sono open source e programmabili tramite script.

Consigli per la scelta di uno strumento DAST open-source

È possibile testare facilmente queste soluzioni eseguendo delle prove sulle applicazioni aziendali e confrontando le alternative. È importante misurare le prestazioni di ciascuna soluzione:

• % di vulnerabilità identificate correttamente
• Percentuale di falsi positivi in tutte le vulnerabilità identificate
• Linee guida per la risoluzione dei problemi: quanto è utile questo strumento per descrivere come risolvere i problemi?
• Integrazione CI/CD : può essere eseguito in modalità headless all'interno di una pipeline senza intervento manuale?
• Velocità di scansione : se rallenta le implementazioni, una scansione di 45 minuti su un'applicazione di grandi dimensioni rappresenta un problema per il flusso di lavoro.
• Utilizzo delle risorse : le scansioni attive approfondite richiedono un'elevata potenza di calcolo; assicurarsi che l'infrastruttura di test sia dimensionata in modo appropriato.
• Personalizzazione : Lo strumento supporta estensioni o regole personalizzate per lo specifico stack tecnologico della tua applicazione?

Perché investire in DAST?

DAST individua una classe di vulnerabilità che l'analisi statica e la revisione del codice solitamente non rilevano, in particolare i problemi che si manifestano solo quando l'applicazione è in esecuzione ed elabora richieste reali. Le debolezze nell'autenticazione, i difetti nella gestione delle sessioni e le configurazioni errate nell'infrastruttura distribuita sono gli esempi più comuni.

I tre principali vettori di attacco che le organizzazioni devono affrontare sono le credenziali compromesse, il phishing e lo sfruttamento delle vulnerabilità. I dati non crittografati in transito si trovano all'incrocio di tutti e tre. DAST testa direttamente:

• Se i dati sensibili vengono esposti durante la trasmissione
• Se i token di sessione possono essere dirottati o falsificati
• Se i controlli di autenticazione (politiche sulle password, blocco dell'account, verifiche di autorizzazione) reggono contro la manipolazione attiva

Le conseguenze dei fallimenti in questi ambiti, come il furto finanziario, la divulgazione di dati personali e l'interruzione delle attività operative, sono ben documentate e i costi aumentano di anno in anno.

Maggiori informazioni su DAST e sui test di sicurezza delle applicazioni

• I 10 migliori strumenti per la sicurezza delle applicazioni
• Le 10 migliori soluzioni PAM gratuite
• Casi d'uso, esempi, vantaggi e svantaggi di DAST
• Strumenti IAST

Collegamenti di riferimento

1.

ZAP

2.

Nikto

3.

Arachni

4.

OpenVAS

5.

Wapiti

6.

Free for Open Source Application Security Tools | OWASP Foundation

7.

Release Nikto 2.6.0 · sullo/nikto · GitHub

8.

Changelog | StackHawk Documentation

StackHawk

9.

Snyk Unveils the AI Security Fabric: An Adaptive System to Unleash AI Innovators Securely | Snyk

Snyk

Cem Dilmegani

Analista principale

Segui

Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.

Visualizza il profilo completo

Ricercato da

Sena Sezer

Analista di settore

Segui

Sena è un'analista di settore presso AIMultiple. Ha conseguito la laurea triennale presso l'Università di Bogazici.

Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

Nome

Indirizzo e-mail

Commento

0/450

Pubblica un commento