OWASP ZAP

free From $0/mo · Founded 2010 · self-hosted / desktop

Наиболее популярный бесплатный DAST-сканер с открытым исходным кодом — активное/пассивное сканирование веб-приложений, перехватывающий прокси, интеграция с CI/CD.

Free tier: fully free, open-source (Apache 2.0)

What it does well

Распространяется бесплатно и с открытым исходным кодом под лицензией Apache 2.0, без функциональных ограничений.
Функциональность расширяется за счёт большого каталога бесплатных дополнений для различных задач сканирования.
Поддерживает несколько режимов работы, включая десктопный GUI, режим демона и автоматизацию в рамках CI/CD.

Where it falls short

Поставляется только в виде self-hosted решения, требуя от пользователей самостоятельного управления установкой, обновлениями и системными ресурсами.
Склонен генерировать большое количество ложных срабатываний без тщательной настройки и конфигурации контекста.
Отсутствует выделенная корпоративная поддержка; для решения проблем предлагается использовать форумы сообщества и документацию.

Visit OWASP ZAP See all 50 tools

Tags: web-appapidastopen-sourcefree-tiersolosmall-teamself-hosted

Alternatives to OWASP ZAP

Nuclei (ProjectDiscovery)

free

Высокоскоростной сканер на основе шаблонов — шаблоны от сообщества охватывают тысячи CVE. Бесплатный CLI, платное управляемое облако.

Nikto

free

Проверенный временем сканер веб-серверов с открытым исходным кодом — выявляет более 6700 опасных файлов и устаревшее программное обеспечение.

Burp Suite

freemium

Стандартный в отрасли прокси для пентестинга — бесплатная версия Community для ручной работы, Pro за $449/год на пользователя, Enterprise от $6,995/год.

Pentest-Tools.com

freemium

Набор из 25+ онлайн-сканеров для пентеста (веб, сеть, разведка) — платные тарифы от $93/mo с неограниченным количеством сканирований.