Serviços
Contate-nos

Top 10 Ferramentas DAST de Código Aberto / Gratuitas Comparadas

Cem Dilmegani
Cem Dilmegani
atualizado em 26 fev. 2026
Loading Chart

Baseamo-nos em nossa pesquisa sobre ferramentas de varredura de vulnerabilidades e DAST para selecionar as principais ferramentas DAST de código aberto e versões gratuitas de software DAST proprietário. Veja nossa justificativa seguindo os links nos nomes dos produtos:

À medida que o custo e a frequência de ciberataques aumentam, as empresas estão adotando cada vez mais ferramentas DAST para melhorar sua postura de segurança.

O software DAST de código aberto ou gratuito é o ponto de entrada de menor custo para software DAST e pode ser adequado para

  • PMEs
  • empresas iniciando sua jornada de cibersegurança
  • empresas que estão procurando ferramentas DAST adicionais para complementar sua postura de cibersegurança

Ferramentas DAST gratuitas

Ordenação: De acordo com o número de estrelas no GitHub.

Fontes: A organização OWASP mantém uma lista de ferramentas DAST, muitas com versões gratuitas (verifique a coluna "Licença").6

Critérios de inclusão para:

  • Projetos de código aberto: 900+ estrelas no GitHub
  • Software proprietário: Deve ser um pacote gratuito para uso fornecido por um provedor de software DAST

ZAP

O ZAP é a ferramenta DAST de código aberto mais amplamente utilizada por estrelas no GitHub. Ele cobre varredura automatizada de vulnerabilidades, teste de penetração manual de aplicativos web e teste de API REST, tornando-o o padrão prático para equipes novas em DAST.

O ZAP funciona como um proxy transparente, interceptando o tráfego entre um navegador e um aplicativo web para análise em tempo real, e também pode ser executado no modo de varredura ativa contra regras de vulnerabilidade predefinidas. É mantido pela comunidade sob a OWASP, desenvolvido ativamente e possui um amplo ecossistema de complementos e documentação.

O ZAP adicionou integração de primeira fase com o OWASP PenTest Kit (PTK), uma extensão do navegador que agora está pré-instalada em navegadores lançados pelo ZAP. Isso permite fluxos de trabalho de teste de sessão autenticada, particularmente relevantes para aplicativos de página única, conectando o estado da sessão no nível do navegador diretamente ao pipeline de varredura do ZAP.

Nikto

O Nikto é um scanner de servidor web de código aberto que testa arquivos e CGIs perigosos, software de servidor desatualizado, más configurações e outros problemas comuns. É apenas de linha de comando, sem interface gráfica.

Atualizações recentes:

  • Varreduras significativamente mais rápidas
  • Nova linguagem específica de domínio (DSL) para definir verificações
  • Mudanças no formato de relatório; cookies habilitados por padrão
  • User-Agent aleatorizado para reduzir a impressão digital
  • Reescreveu o módulo de teste LFI (inclusão de arquivo local)
  • Licença alterada para GPLv37

Limitação: Sem GUI; opera inteiramente a partir da linha de comando, o que aumenta a barreira para usuários não técnicos.

Arachni

O repositório do GitHub do Arachni agora marca explicitamente o projeto como obsoleto. A data do último lançamento é 2022 (era v1.6.1.3) e o projeto não é mais mantido ativamente. Seu design modular e capacidades avançadas de rastreamento foram notáveis durante seus anos ativos, mas as equipes devem tratá-lo como fim de vida e avaliar o ZAP ou Wapiti como substitutos.

OpenVAS

O OpenVAS é um scanner de vulnerabilidade de código aberto projetado para detectar problemas de segurança em sistemas e redes de computadores, formando o núcleo do framework Greenbone Vulnerability Management (GVM). Ele varre CVEs conhecidos, más configurações e software desatualizado em ambientes pequenos e de escala empresarial.

Nota de classificação: O OpenVAS é principalmente um scanner de vulnerabilidade de rede e host, não uma ferramenta DAST de aplicativo web no sentido tradicional. Ele pertence a esta lista como uma ferramenta adjacente frequentemente usada, mas não substitui o ZAP ou o Wapiti para teste dinâmico específico de aplicativos web (injeção de formulário, manipulação de sessão, lógica do lado do cliente). Use-o para cobertura de host/rede; use ZAP ou Wapiti para cobertura de superfície de aplicativo web.

Wapiti

O Wapiti é um scanner de vulnerabilidade web de caixa preta. Ele funciona rastreando um aplicativo web implantado, extraindo links, formulários e scripts e, em seguida, injetando payloads nos parâmetros descobertos para detectar comportamento anormal da aplicação que indica vulnerabilidades. Também suporta um modo passivo para análise de tráfego sem fuzzing ativo.

O Wapiti suporta script personalizado para expandir suas capacidades de detecção de vulnerabilidades, tornando-o útil em ambientes especializados onde o conjunto de regras padrão precisa de augmentação.

Ferramentas proprietárias que são gratuitas para projetos de código aberto

CI Fuzz (Code Intelligence)

Uma ferramenta de teste de fuzz de linha de comando focada em aplicativos embarcados, principalmente em contextos automotivos e de dispositivos médicos. Gratuito para projetos de código aberto.

StackHawk (HawkScan)

O StackHawk é a ferramenta de teste de segurança de API gratuita mais estabelecida nesta lista e um dos poucos produtos DAST comerciais com teste de API dedicado como seu foco principal. Mantenedores de projetos de código aberto podem usá-lo sem custo.

O posicionamento atual da plataforma do StackHawk expandiu-se além do teste apenas de API para incluir descoberta de superfície de ataque a partir de código-fonte, teste em tempo de execução e capacidades do Modern AJAX Spider (rastreamento consciente de framework SPA). O nível gratuito para OSS permanece disponível enquanto a plataforma comercial cresce ao seu redor.

Releases recentes:

  • v5.3.0 (17 de fevereiro de 2026): Adicionado escaneamento JSON-RPC; reescreveu o Modern AJAX Spider para consciência de framework SPA; adicionou detecção de sink DOM XSS; migrado para Chrome/Puppeteer para automação de navegador; inicialização mais rápida
  • v5.2.0 (15 de janeiro de 2026): Fluxo de trabalho de triagem de alertas melhorado; taxa de falso positivo SQLi reduzida8

Ferramentas proprietárias com edições comunitárias gratuitas

Para mais sobre essas ferramentas, veja alternativas ao Tenable Nessus ou uma lista completa de ferramentas DAST.

Outras ferramentas de segurança de aplicativos gratuitas

O DAST é um componente de um programa de segurança de aplicativos mais amplo. Ferramentas SAST de código aberto e gratuitas fornecem análise estática complementar, pegando problemas no nível do código que o DAST não pode ver em tempo de execução. Uma postura de segurança madura combina ambos.

Em 2026, o mercado está se movendo para correlacionar descobertas de DAST e SAST, destacando uma vulnerabilidade em tempo de execução e rastreando-a de volta para a localização específica do código simultaneamente. O "AI Security Fabric" da Snyk é um exemplo dessa direção se tornando um recurso de produto em vez de um processo manual.9

Benefícios de ferramentas DAST de código aberto

Eles fornecem uma maneira rápida e econômica de abordar a ameaça presente de atores externos, oferecendo capacidades de teste acessíveis a organizações de todos os tamanhos e orçamentos:

  • Menor custo inicial: Sem negociação de licença ou processo de aquisição. Baixe, configure e escaneie.
  • Implantação rápida: Para equipes sem um pipeline de teste de segurança estabelecido, uma ferramenta como ZAP ou Nikto pode estar rodando contra um ambiente de staging dentro de horas de uma decisão de testar.
  • Configuração mais simples para casos de uso padrão: Várias ferramentas nesta lista funcionam bem fora da caixa para padrões comuns de aplicativos web sem exigir ajuste profundo.
  • Comunidades ativas: As ferramentas mais estabelecidas (ZAP em particular) têm grandes comunidades de usuários, documentação pública e ecossistemas de complementos mantidos. Fóruns comunitários substituem o suporte do fornecedor que vem com ferramentas pagas.
  • Sem lock-in de fornecedor: Os resultados pertencem a você. A integração com pipelines CI/CD é flexível, pois as ferramentas são abertas e scriptáveis.

Recomendações para escolher uma ferramenta DAST de código aberto

Você pode testar facilmente essas soluções em execuções de teste nas aplicações de sua empresa e comparar alternativas. É importante medir isso para diferentes soluções:

  • % de vulnerabilidades corretamente identificadas
  • % de falsos positivos em todas as vulnerabilidades identificadas
  • Orientação de correção: Quão útil é a ferramenta ao descrever como resolver problemas?
  • Integração CI/CD: Pode rodar sem cabeça em um pipeline sem intervenção manual?
  • Velocidade de varredura: Se bloquear implantações, uma varredura de 45 minutos em um aplicativo grande é um problema de fluxo de trabalho
  • Uso de recursos: Varreduras ativas profundas são computacionalmente intensivas; certifique-se de que a infraestrutura de teste tenha o tamanho adequado
  • Personalização: A ferramenta suporta extensões ou regras personalizadas para a pilha de tecnologia específica do seu aplicativo?
Não perca os nossos benchmarks e insights baseados em dados. O botão abre o Google; selecionar a AIMultiple confirma que deseja ver a AIMultiple com mais frequência nos resultados de pesquisa do Google.
GoogleAdicionar como fonte preferencial

Por que investir em DAST de qualquer maneira?

O DAST pega uma classe de vulnerabilidades que a análise estática e a revisão de código perdem rotineiramente, especificamente, problemas que só se manifestam quando o aplicativo está rodando e processando solicitações reais. Fraquezas de autenticação, falhas de gerenciamento de sessão e más configurações na infraestrutura implantada são os exemplos mais comuns.

Os três vetores de ataque principais que as organizações enfrentam são credenciais comprometidas, phishing e exploração de vulnerabilidades. Dados não criptografados em trânsito estão na interseção de todos os três. O DAST testa diretamente:

  • Se dados sensíveis são expostos em trânsito
  • Se tokens de sessão podem ser sequestrados ou falsificados
  • Se controles de autenticação (políticas de senha, bloqueio de conta, verificações de autorização) resistem à manipulação ativa

As consequências de falhas nessas áreas, como roubo financeiro, exposição de PII e interrupção operacional, são bem documentadas e estão aumentando de custo ano após ano.

Mais sobre teste DAST & AppSec

Cite esta pesquisa

Escolha o formato adequado ao local onde você vai publicar. Colar a versão com link no seu CMS preserva o backlink.

Cem Dilmegani and Sena Sezer (2026) - "Top 10 Ferramentas DAST de Código Aberto / Gratuitas Comparadas". Publicado on-line em AIMultiple.com. Acessado em 26 Fevereiro 2026, em: https://aimultiple.com/free-dast-tools [Recurso on-line]

Dilmegani, C., & Sezer, S. (2026, 26 Fevereiro). Top 10 Ferramentas DAST de Código Aberto / Gratuitas Comparadas. AIMultiple. https://aimultiple.com/free-dast-tools

@misc{dilmegani2026,
  author = {Dilmegani, Cem and Sezer, Sena},
  title  = {{Top 10 Ferramentas DAST de Código Aberto / Gratuitas Comparadas}},
  year   = {2026},
  month  = feb,
  howpublished    = {\url{https://aimultiple.com/free-dast-tools}},
  note   = {AIMultiple. Acessado em 26 Fevereiro 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista Principal
Cem é o analista principal da AIMultiple desde 2017. A AIMultiple fornece informações para centenas de milhares de empresas (segundo o SimilarWeb), incluindo 55% das empresas da Fortune 500, todos os meses. O trabalho de Cem foi citado por importantes publicações globais, como Business Insider, Forbes e Washington Post, além de empresas globais como Deloitte e HPE, ONGs como o Fórum Econômico Mundial e organizações supranacionais como a Comissão Europeia. Você pode ver mais empresas e recursos renomados que mencionaram a AIMultiple. Ao longo de sua carreira, Cem atuou como consultor de tecnologia, comprador de tecnologia e empreendedor na área. Ele assessorou empresas em suas decisões tecnológicas na McKinsey & Company e na Altman Solon por mais de uma década. Também publicou um relatório da McKinsey sobre digitalização. Liderou a estratégia de tecnologia e a área de compras de uma empresa de telecomunicações, reportando-se diretamente ao CEO. Além disso, liderou o crescimento comercial da empresa de tecnologia avançada Hypatos, que atingiu uma receita recorrente anual de sete dígitos e uma avaliação de nove dígitos, partindo de zero, em apenas dois anos. O trabalho de Cem no Hypatos foi noticiado por importantes publicações de tecnologia, como TechCrunch e Business Insider. Cem participa regularmente como palestrante em conferências internacionais de tecnologia. Ele se formou em engenharia da computação pela Universidade Bogazici e possui um MBA pela Columbia Business School.
Ver perfil completo
Pesquisado por
Sena Sezer
Sena Sezer
Analista do setor
Sena é analista do setor na AIMultiple. Ela concluiu sua graduação na Universidade Bogazici.
Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios. Os comentários são deixados em seu idioma original.

0/450