SPA网页安全扫描器
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
HTCAP(htcap.org)是一款聚焦现代动态Web应用的开源安全扫描工具,核心定位是解决单页应用(SPA)的爬取痛点,专门用于人工与自动化Web渗透测试场景。项目托管在GitHub,当前最新版本为1.1,是完全免费的开源工具。
HTCAP将扫描流程分为两个独立阶段:第一阶段由爬取引擎完成目标站点的信息收集,递归抓取单页应用过程中,拦截所有Ajax/fetch调用、Websocket连接、JSONP请求,跟踪DOM变化,最终将所有收集到的URL、表单、请求数据存入SQLite数据库;第二阶段调用内置或外部扫描器对存储的请求批量进行漏洞检测,结果同样存入数据库。
核心功能包括:支持通过SQL命令或内置工具快速查询爬取结果,比如用htcap.py util lsajax命令列出所有发现的Ajax接口;可直接调用sqlmap、arachni等外部工具多线程并行扫描,比如一行命令即可启动10个并行sqlmap实例扫描存储的Ajax请求;支持生成交互式HTML报告,罗列包含Ajax调用的页面、已发现的漏洞等信息;自带轻量开发框架,允许开发者在不到60行Python代码内完成自定义fuzzer的开发,支持GET/POST、XML、JSON等多种数据格式。
1.1版本更新后,原有的Phantomjs依赖被替换为基于Puppeteer的Chromium控制方案,爬取引擎使用JavaScript异步特性重写,稳定性和兼容性有所提升。
HTCAP需要手动配置环境,依赖包括Python 2.7、Node.js、可选依赖sqlmap和arachni,可通过GitHub克隆仓库直接部署,首次运行会自动安装所需Node模块。
它的优势非常明确:填补了传统扫描工具对动态SPA爬取能力不足的缺口,架构灵活可扩展,完全开源没有使用限制,结果存储格式通用便于二次分析。缺点也比较明显:目前不支持Python 3,依赖环境偏旧,用户脚本功能已经移除尚未恢复,漏洞检测能力主要依赖外部工具,自身仅内置基础的漏洞检测规则,对新手部署不够友好。
HTCAP官网htcap.org可直接直连访问,源码托管在GitHub,国内网络可正常访问项目仓库,在线演示报告也可直接打开。
这款工具适合专业Web渗透测试人员,在对现代单页应用、动态加载站点进行测试时作为信息收集工具使用,也适合安全开发人员基于它的框架开发定制化扫描模块。
本测评基于公开资料整理,不构成购买建议,请以 htcap.org 官网实际信息为准。
开源/文档型安全工具,适合开发测试。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。