Strumenti di pentest gratuiti per il tuo sito

Non serve un budget da grande azienda per testare la sicurezza del vostro sito web. Esistono strumenti open source e gratuiti che permettono di identificare le vulnerabilità più comuni prima che lo facciano gli attaccanti. Ecco i migliori, organizzati per categoria.

Scanner di vulnerabilità web

OWASP ZAP (Zed Attack Proxy)

Lo scanner web open source più completo, mantenuto dalla fondazione OWASP.

Cosa fa:

• Scansione automatica delle vulnerabilità web (XSS, SQL injection, CSRF)
• Proxy per intercettare e modificare le richieste
• Spider per mappare la struttura del sito
• Fuzzing dei parametri
• Generazione di report dettagliati

Installazione:

# Docker (consigliato)
docker pull zaproxy/zap-stable
docker run -t zaproxy/zap-stable zap-baseline.py -t https://vostro-sito.it

# Scansione completa
docker run -t zaproxy/zap-stable zap-full-scan.py -t https://vostro-sito.it

Quando usarlo: audit completo del sito, test pre-produzione, controlli periodici.

Nikto

Scanner di web server che identifica configurazioni pericolose e file esposti.

Cosa fa:

• Identifica versioni software con vulnerabilità note
• Trova file e directory esposte (backup, config, admin)
• Verifica la configurazione degli header HTTP
• Rileva configurazioni server pericolose

nikto -h https://vostro-sito.it

Quando usarlo: verifica rapida della configurazione del server.

Nuclei

Scanner basato su template, veloce e personalizzabile.

# Installazione
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

# Scansione con tutti i template
nuclei -u https://vostro-sito.it

# Solo vulnerabilità critiche e alte
nuclei -u https://vostro-sito.it -severity critical,high

Quando usarlo: scansioni mirate con template personalizzati, CI/CD.

Analisi SSL/TLS

testssl.sh

L'analisi più completa della configurazione TLS del vostro server.

# Installazione
git clone --depth 1 https://github.com/drwetter/testssl.sh.git

# Scansione
./testssl.sh https://vostro-sito.it

Verifica:

• Versioni TLS supportate (1.2 e 1.3 consigliati)
• Suite crittografiche (evitare RC4, DES, MD5)
• Vulnerabilità note (POODLE, Heartbleed, BEAST)
• Configurazione dei certificati

SSL Labs

Servizio online di Qualys per la valutazione SSL (nessuna installazione):

https://www.ssllabs.com/ssltest/analyze.html?d=vostro-sito.it

Obiettivo: punteggio A o A+.

Analisi degli header HTTP

Mozilla Observatory

https://observatory.mozilla.org/analyze/vostro-sito.it

Valuta la configurazione degli header di sicurezza (CSP, HSTS, X-Frame-Options, ecc.) con un punteggio da A+ a F.

SecurityHeaders.com

https://securityheaders.com/?q=vostro-sito.it

Analisi rapida e visuale degli header di sicurezza con raccomandazioni specifiche.

Scansione delle porte e dei servizi

Nmap

Lo scanner di rete più famoso al mondo.

# Scansione delle porte comuni
nmap -sV vostro-sito.it

# Scansione completa con script di rilevamento vulnerabilità
nmap -sV --script=vuln vostro-sito.it

# Solo le porte web
nmap -p 80,443,8080,8443 vostro-sito.it

Cosa cercare:

• Porte aperte non necessarie
• Servizi esposti con versioni obsolete
• Pannelli di amministrazione accessibili

Masscan

Scanner di porte estremamente veloce per scansioni su larga scala.

masscan vostro-ip -p1-65535 --rate=1000

Discovery di contenuti

Gobuster

Brute force di directory e file nascosti.

# Directory discovery
gobuster dir -u https://vostro-sito.it -w /usr/share/wordlists/dirb/common.txt

# Sottodomini
gobuster dns -d vostro-sito.it -w /usr/share/wordlists/subdomains.txt

File da cercare:

• .env, .git, wp-config.php — file di configurazione esposti
• /admin, /backup, /test — directory sensibili
• robots.txt, sitemap.xml — mappatura del sito

ffuf

Fuzzer web veloce e flessibile.

ffuf -u https://vostro-sito.it/FUZZ -w wordlist.txt -mc 200,301,302

Analisi delle dipendenze

npm audit / pnpm audit

Per applicazioni Node.js:

# Verifica delle vulnerabilità
npm audit
# oppure
pnpm audit

# Fix automatico
npm audit fix

Snyk

Scansione delle dipendenze con database di vulnerabilità completo:

# Installazione
npm install -g snyk

# Scansione
snyk test

# Monitoraggio continuo
snyk monitor

OWASP Dependency-Check

Per progetti Java, .NET, Ruby e altri:

dependency-check --project "MioProgetto" --scan ./

Workflow di pentest consigliato

Fase 1: Ricognizione (30 minuti)

1. Nmap: scansione porte e servizi
2. Gobuster: discovery di directory e file
3. SSL Labs: valutazione certificato
4. SecurityHeaders.com: verifica header

Fase 2: Scansione vulnerabilità (1-2 ore)

5. OWASP ZAP: scansione automatizzata completa
6. Nuclei: template specifici per il vostro stack
7. testssl.sh: analisi TLS approfondita
8. npm audit / Snyk: dipendenze con vulnerabilità

Fase 3: Analisi e rimedio (variabile)

9. Classificare le vulnerabilità per gravità
10. Correggere le vulnerabilità critiche e alte immediatamente
11. Pianificare la correzione delle medie e basse
12. Riscansionare per verificare le correzioni

Aspetti legali importanti

In Italia, il test di penetrazione è legale solo con l'autorizzazione esplicita del proprietario del sistema. Testare un sito senza autorizzazione è un reato penale (accesso abusivo a sistema informatico, art. 615-ter c.p.).

Regole d'oro:

• Testate solo i vostri sistemi o quelli per cui avete un'autorizzazione scritta
• Documentate l'autorizzazione prima di iniziare
• Non sfruttate le vulnerabilità trovate (no exfiltration, no modification)
• Documentate tutte le azioni effettuate

Conclusione

Gli strumenti di pentesting gratuiti coprono la stragrande maggioranza delle verifiche necessarie. La differenza non sta nello strumento ma nella regolarità: una scansione mensile con questi strumenti è più efficace di un audit annuale costoso.

Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.