Eu uso OWASP ZAP (https://www.zaproxy.org/). Já cumpre o propósito de fazer DAST em aplicações web, é totalmente gratuito e open source.

Ferramentas pagas como BurpSuite e Caido tem recursos extras, não nego. Mas são extras que você não precisa de verdade, são apenas comodidades.