DOM XSS扫描工具作者站
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
FCVL 是 Filippo Cavallarin 发布安全研究、漏洞披露与开源工具的站点,网络安全产品重点集中在 HTCAP、HTCRAWL、DOMDig 和 Burp DOM Scanner。它不是传统 SaaS 安全平台,而是一组面向现代 Web 单页应用(SPA)的本地化安全测试工具,核心解决 SPA 中 Ajax/fetch/jsonp/websocket、DOM 变化和认证流程难以被传统爬虫充分覆盖的问题。
HTCAP 是主要工具,定位为 Web 应用扫描器,可递归爬取 SPA,通过拦截 Ajax 调用和 DOM 变化收集请求,并将结果保存到 SQLite 数据库。其内置 fuzzers 可检测 SQL 注入、XSS、命令执行、文件泄露等问题,也可调用 sqlmap、Arachni、Wapiti、Burp 等外部工具。DOMDig 聚焦 DOM XSS 扫描;HTCRAWL 是基于 Puppeteer/Chromium 的 Node.js 爬虫模块;Burp DOM Scanner 则把 DOMDig 能力接入 Burp Suite GUI。
部署方式以本地命令行和开源模块为主,HTCAP 依赖 Python、Node.js、npm、Puppeteer/Chromium,并可安装 sqlmap、Arachni 作为外部扫描器。管理方面,工具支持多线程扫描、命令链式执行、SQLite 查询、HTML 交互式报告、高级过滤和工作流工具,但正文未体现集中化团队管理、权限控制、实时告警或 SIEM/IM 通知能力。集成能力较强,支持代理、Cookie、自定义 Header、HTTP Auth、登录序列和自定义扫描模块。
正文未提供商业定价、订阅计划、付款方式或企业支持信息。多个项目指向 GitHub,整体更接近开源/免费研究工具。也未看到 SOC 2、ISO 27001、GDPR 等合规认证或企业级 SLA 信息,因此不宜将其视为合规型企业安全平台。
优点是对 SPA 场景针对性强,可发现传统爬虫遗漏的 Ajax/API 请求,支持认证爬取、自定义 fuzzing 和外部工具联动。缺点是部署和使用门槛较高,文档偏技术,缺少商业支持、可视化管理和合规背书。它更适合渗透测试人员、安全研究者、DevSecOps 中具备脚本能力的团队,用于专项 Web 安全测试和工具链补强。
正文未提供中国大陆网络可达性、支付或本地化服务信息,china_access 只能标记为未知。若访问 GitHub 相关资源不稳定,国内团队可考虑 Burp Suite、OWASP ZAP、sqlmap、Wapiti 等更常见替代或配套工具。
本测评基于公开资料整理,不构成购买建议,请以 fcvl.net 官网实际信息为准。
展示DOMDig、HTCAP等开源安全工具。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。