Contate-nos
ServiçosEmpresa
Contate-nos
Nenhum resultado encontrado.
Segurança cibernéticaFerramentas de segurança

Comparativo das 10 melhores ferramentas DAST de código aberto/gratuitas

Cem Dilmegani
Cem Dilmegani
com 
Sena Sezer
atualizado em Fev 26, 2026
Veja o nosso normas éticas
Loading Chart

Baseamo-nos em nossa pesquisa sobre ferramentas de varredura de vulnerabilidades e DAST para selecionar as principais ferramentas DAST de código aberto e versões gratuitas de software DAST proprietário. Veja nossa justificativa seguindo os links nos nomes dos produtos:

Com o aumento do custo e da frequência dos ataques cibernéticos, as empresas estão adotando cada vez mais ferramentas DAST para aprimorar sua postura de segurança.

O software DAST de código aberto ou gratuito é a opção de entrada mais econômica para o software DAST e pode ser adequado para

  • PMEs
  • Empresas que estão iniciando sua jornada em cibersegurança
  • Empresas que buscam ferramentas DAST adicionais para complementar sua postura de cibersegurança.

Ferramentas DAST gratuitas

Ordenação : De acordo com o número de estrelas no GitHub.

Fontes: A organização OWASP mantém uma lista de ferramentas DAST, muitas com versões gratuitas (verifique a coluna "Licença"). 6

Critérios de inclusão para:

  • Projetos de código aberto: mais de 900 estrelas no GitHub
  • Software proprietário: Deve ser um pacote de uso gratuito fornecido por um fornecedor de software DAST.

ZAP

O ZAP é a ferramenta DAST de código aberto mais utilizada pelos usuários do GitHub. Ele abrange varredura automatizada de vulnerabilidades, testes de penetração manuais em aplicações web e testes de API REST, tornando-se a opção padrão para equipes que estão começando a usar DAST.

O ZAP funciona como um proxy transparente, interceptando o tráfego entre um navegador e uma aplicação web para análise em tempo real, e também pode ser executado em modo de varredura ativa com base em regras de vulnerabilidade predefinidas. É mantido pela comunidade sob a égide da OWASP, está em constante desenvolvimento e possui um amplo ecossistema de complementos e documentação.

O ZAP adicionou a integração da primeira fase com o OWASP PenTest Kit (PTK) , uma extensão de navegador que agora vem pré-instalada nos navegadores iniciados pelo ZAP. Isso possibilita fluxos de trabalho de teste com sessão autenticada, particularmente relevantes para aplicativos de página única, ao integrar o estado da sessão do navegador diretamente ao pipeline de varredura do ZAP.

Nikto

O Nikto é um scanner de servidor web de código aberto que testa arquivos e CGIs perigosos, software de servidor desatualizado, configurações incorretas e outros problemas comuns. Ele funciona apenas pela linha de comando e não possui interface gráfica.

Atualizações recentes:

  • Digitalizações significativamente mais rápidas
  • Nova linguagem específica de domínio (DSL) para definir verificações
  • Alterações no formato do relatório; cookies ativados por padrão.
  • Agente de usuário aleatório para reduzir a coleta de impressões digitais.
  • Reescrevi o módulo de teste LFI (inclusão de arquivo local).
  • Licença alterada para GPLv3 7

Limitação: Sem interface gráfica; opera inteiramente a partir da linha de comando, o que aumenta a barreira de entrada para usuários não técnicos.

Aranha

O repositório do Arachni no GitHub agora marca explicitamente o projeto como obsoleto. A última versão lançada é de 2022 (era v1.6.1.3) e o projeto não recebe mais manutenção ativa. Seu design modular e recursos avançados de rastreamento foram notáveis durante seus anos de atividade, mas as equipes devem considerá-lo como um projeto em fim de vida útil e avaliar o ZAP ou o Wapiti como substitutos.

OpenVAS

O OpenVAS é um scanner de vulnerabilidades de código aberto projetado para detectar problemas de segurança em sistemas e redes de computadores, formando o núcleo da estrutura de Gerenciamento de Vulnerabilidades Greenbone (GVM). Ele verifica a presença de CVEs conhecidas, configurações incorretas e softwares desatualizados em ambientes de pequeno e grande porte.

Nota de classificação: O OpenVAS é principalmente um scanner de vulnerabilidades de rede e host, não uma ferramenta DAST para aplicações web no sentido tradicional. Ele pertence a esta lista como uma ferramenta adjacente frequentemente utilizada, mas não substitui o ZAP ou o Wapiti para testes dinâmicos específicos de aplicações web (injeção de formulário, gerenciamento de sessão, lógica do lado do cliente). Use-o para cobertura de host/rede; use o ZAP ou o Wapiti para cobertura da superfície da aplicação web.

Wapiti

O Wapiti é um scanner de vulnerabilidades web de caixa preta. Ele funciona rastreando uma aplicação web implantada, extraindo links, formulários e scripts, e então injetando payloads nos parâmetros descobertos para detectar comportamentos anormais da aplicação que indicam vulnerabilidades. Ele também oferece um modo passivo para análise de tráfego sem fuzzing ativo.

O Wapiti suporta scripts personalizados para ampliar suas capacidades de detecção de vulnerabilidades, tornando-o útil em ambientes especializados onde o conjunto de regras padrão precisa ser aprimorado.

Ferramentas proprietárias que são gratuitas para projetos de código aberto

CI Fuzz (Código Intelligência)

Uma ferramenta de teste de fuzzing em linha de comando focada em aplicações embarcadas, principalmente nos contextos automotivo e de dispositivos médicos. Gratuita para projetos de código aberto.

StackHawk (HawkScan)

O StackHawk é a ferramenta gratuita de teste de segurança de API mais consolidada desta lista e um dos poucos produtos comerciais de DAST (Teste de Segurança de API) com foco principal em testes de API. Os mantenedores de projetos de código aberto podem usá-lo gratuitamente.

O posicionamento atual da plataforma StackHawk expandiu-se além dos testes exclusivos de API, incluindo agora a descoberta de superfície de ataque a partir do código-fonte, testes em tempo de execução e recursos modernos de AJAX Spider (rastreamento compatível com frameworks SPA). A versão gratuita para projetos de código aberto permanece disponível enquanto a plataforma comercial se desenvolve ao seu redor.

Lançamentos recentes:

  • v5.3.0 (17 de fevereiro de 2026): Adicionada verificação de JSON-RPC; reescrita do Modern AJAX Spider para compatibilidade com frameworks SPA; adicionada detecção de sinks XSS no DOM; migração para Chrome/Puppeteer para automação do navegador; inicialização mais rápida.
  • v5.2.0 (15 de janeiro de 2026): Fluxo de trabalho de triagem de alertas aprimorado; taxa de falsos positivos de SQLi reduzida. 8

Ferramentas proprietárias com versões comunitárias gratuitas

Para mais informações sobre essas ferramentas, consulte as alternativas ao Tenable Nessus ou a lista completa de ferramentas DAST .

Outras ferramentas gratuitas de segurança de aplicativos

O DAST é um componente de um programa de segurança de aplicações mais abrangente. Ferramentas SAST de código aberto e gratuitas fornecem análises estáticas complementares, detectando problemas no nível do código que o DAST não consegue identificar em tempo de execução. Uma postura de segurança robusta combina ambas as abordagens.

Em 2026, o mercado está caminhando para a correlação de resultados de DAST e SAST, revelando vulnerabilidades em tempo de execução e rastreando-as até a localização específica do código simultaneamente. O "AI Security Fabric" da Snyk é um exemplo dessa tendência se tornando um recurso do produto, em vez de um processo manual. 9

Benefícios das ferramentas DAST de código aberto

Elas oferecem uma maneira rápida e econômica de lidar com a ameaça atual de agentes externos, disponibilizando recursos de teste acessíveis a organizações de todos os portes e orçamentos:

  • Custo inicial reduzido : Sem negociação de licenças ou processo de aquisição. Baixe, configure e digitalize.
  • Implantação rápida: Para equipes sem um pipeline de testes de segurança estabelecido, uma ferramenta como ZAP ou Nikto pode ser executada em um ambiente de teste poucas horas após a decisão de realizar os testes.
  • Configuração simplificada para casos de uso padrão : Diversas ferramentas desta lista funcionam bem imediatamente para padrões comuns de aplicações web, sem a necessidade de ajustes complexos.
  • Comunidades ativas : As ferramentas mais consolidadas (ZAP em particular) possuem grandes comunidades de usuários, documentação pública e ecossistemas de complementos mantidos. Fóruns da comunidade substituem o suporte do fornecedor oferecido por ferramentas pagas.
  • Sem dependência de fornecedor : os resultados são seus. A integração com pipelines de CI/CD é flexível, já que as ferramentas são abertas e programáveis.

Recomendações para escolher uma ferramenta DAST de código aberto

Você pode facilmente testar essas soluções em execuções de teste nos aplicativos da sua empresa e comparar alternativas. É importante medir esses aspectos para diferentes soluções:

  • % de vulnerabilidades corretamente identificadas
  • % de falsos positivos em todas as vulnerabilidades identificadas
  • Orientações para correção: Quão útil é a ferramenta para descrever como resolver problemas?
  • Integração CI/CD : É possível executar em um pipeline sem interface gráfica, sem intervenção manual?
  • Velocidade de verificação : Se isso limitar as implementações, uma verificação de 45 minutos em uma aplicação grande representa um problema de fluxo de trabalho.
  • Utilização de recursos : Varreduras ativas profundas exigem alto poder computacional; certifique-se de que a infraestrutura de teste tenha o tamanho adequado.
  • Personalização : A ferramenta suporta extensões ou regras personalizadas para a pilha de tecnologia específica da sua aplicação?

Por que investir no DAST?

O DAST detecta uma classe de vulnerabilidades que a análise estática e a revisão de código normalmente não identificam, especificamente, problemas que só se manifestam quando a aplicação está em execução e processando requisições reais. Fraquezas na autenticação, falhas no gerenciamento de sessões e configurações incorretas na infraestrutura implantada são os exemplos mais comuns.

Os três principais vetores de ataque que as organizações enfrentam são credenciais comprometidas, phishing e exploração de vulnerabilidades. Dados não criptografados em trânsito representam a interseção desses três vetores. O DAST testa diretamente:

  • Se os dados sensíveis ficam expostos durante a transmissão.
  • Se os tokens de sessão podem ser sequestrados ou falsificados.
  • A eficácia dos controles de autenticação (políticas de senhas, bloqueio de contas, verificações de autorização) contra manipulação ativa.

As consequências de falhas nessas áreas, como roubo financeiro, exposição de informações pessoais identificáveis e interrupção operacional, estão bem documentadas e seus custos aumentam ano após ano.

Mais sobre testes DAST e AppSec

Links de referência

1.
ZAP
2.
Nikto
3.
Arachni
4.
OpenVAS
5.
Wapiti
6.
7.
Release Nikto 2.6.0 · sullo/nikto · GitHub
8.
Changelog | StackHawk Documentation
StackHawk
9.
Snyk Unveils the AI Security Fabric: An Adaptive System to Unleash AI Innovators Securely | Snyk
Snyk
Cem Dilmegani
Cem Dilmegani
Analista Principal
Siga-nos
Cem é o analista principal da AIMultiple desde 2017. A AIMultiple fornece informações para centenas de milhares de empresas (segundo o SimilarWeb), incluindo 55% das empresas da Fortune 500, todos os meses. O trabalho de Cem foi citado por importantes publicações globais, como Business Insider, Forbes e Washington Post, além de empresas globais como Deloitte e HPE, ONGs como o Fórum Econômico Mundial e organizações supranacionais como a Comissão Europeia. Você pode ver mais empresas e recursos renomados que mencionaram a AIMultiple. Ao longo de sua carreira, Cem atuou como consultor de tecnologia, comprador de tecnologia e empreendedor na área. Ele assessorou empresas em suas decisões tecnológicas na McKinsey & Company e na Altman Solon por mais de uma década. Também publicou um relatório da McKinsey sobre digitalização. Liderou a estratégia de tecnologia e a área de compras de uma empresa de telecomunicações, reportando-se diretamente ao CEO. Além disso, liderou o crescimento comercial da empresa de tecnologia avançada Hypatos, que atingiu uma receita recorrente anual de sete dígitos e uma avaliação de nove dígitos, partindo de zero, em apenas dois anos. O trabalho de Cem no Hypatos foi noticiado por importantes publicações de tecnologia, como TechCrunch e Business Insider. Cem participa regularmente como palestrante em conferências internacionais de tecnologia. Ele se formou em engenharia da computação pela Universidade Bogazici e possui um MBA pela Columbia Business School.
Ver perfil completo
Pesquisado por
Sena Sezer
Sena Sezer
Analista do setor
Siga-nos
Sena é analista do setor na AIMultiple. Ela concluiu sua graduação na Universidade Bogazici.
Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios.

0/450

A seguir, leia

Ferramentas de segurançaFev 24

As 10 melhores soluções PAM gratuitas

Cem Dilmegani
Sena Sezer
Cem Dilmegani
com
Sena Sezer
Ferramentas de segurançaFev 25

Comparação de preços de software da DAST: Burp Suite, Nessus e muito mais

Cem Dilmegani
Sena Sezer
Cem Dilmegani
com
Sena Sezer
Ferramentas de segurançaFev 26

As 10 principais ferramentas IAST: Avaliando foco, integração e recursos

Adil Hafa
Adil Hafa
Ferramentas de segurançaFev 26

Compare as 20 principais ferramentas de segurança LLM e frameworks gratuitos em 2026.

Hazal Şimşek
Hazal Şimşek
Ferramentas de segurançaAbr 18

As 10 principais ferramentas DAST: Resultados de benchmarking e comparação

Adil Hafa
Adil Hafa
Ferramentas de raspagemJan 16

Mais de 10 ferramentas de web scraping, pagas e gratuitas

Gulbahar Karatas
Gulbahar Karatas