Hasta ahora logré ver Webscarab, Webscarab-NG, IronWASP & Extensor de eructo.
Desafortunadamente, excepto IronWASP, que se negó a compilar desde la fuente GIT, ninguno de los proyectos coincidió con mis criterios (Webscarab carecía del escáner, al igual que Webscarab-NG & Burp extended es muy bueno, pero no de código abierto).
¿Conoce otros proyectos de código abierto que puedan funcionar?
Wapiti (python) y Skipfish (C / C ++) son buenos escáneres de código abierto que no son malos. Mi mayor queja es que son demasiado simplistas, por ejemplo, Skipfish no tiene realmente un analizador html, sino que utiliza un sistema de expresiones regulares demasiado simplistas. Wapiti usa el analizador html de Python, que es mejor, sin embargo, Wapiti no se mantiene activamente. El mayor problema de Skipfish es que la aplicación web DoS con el tráfico que produce, por lo que no lo ejecutaría en un sistema de producción.
Estudié ambos proyectos cuando construí mi escáner Sitewatch , proporcionamos un servicio gratuito y es mejor que cualquier otra web de código abierto escáner de la aplicación que soy consciente de.
SecToolAddict tiene una revisión muy detallada de muchos comerciales Escáneres de código abierto, abierto y cerrado. Encontrarás muchas opciones de alta calidad allí. Su nueva ronda de pruebas comenzará pronto.
Desde mi experiencia personal, puedo responder por w3af y arachni por tener arañas y ser escáneres efectivos. Ambos son de código abierto, están en desarrollo activo y tienen un alto rango en las pruebas de sectooladdict.
Lea otras preguntas en las etiquetas web-scanners