htcap är en webbapplikationsskanner designad för att rekursivt genomsöka Single Page Applications (SPA) genom att avlyssna AJAX-anrop och DOM-förändringar. Verktyget fokuserar på genomsökningsprocessen och kan upptäcka och avlyssna AJAX/fetch-anrop, websockets och JSONP, samt använda egna och externa fuzzers för sårbarhetsupptäckt. Det är avsett för både manuell och automatiserad penetrationstestning av moderna webbapplikationer och inkluderar ett ramverk för att snabbt utveckla anpassade fuzzers i Python. Den senaste versionen använder headless Chrome (baserat på Puppeteer och Node.js) istället för PhantomJS för sin JavaScript-genomsökningsmotor, och drar nytta av ECMAscripts async/await-funktioner. Kräver Python 2.7, Node.js, npm, samt sqlmap och arachni för specifika skannermoduler, och kan laddas ner från gitHub.