文章总结: 本文介绍Web安全扫描工具FLUXv3.0,集成JS敏感信息收集、API提取、漏洞测试及WAF绕过功能。该工具内置25000+指纹库,支持一键全功能扫描,涵盖SQLi、XSS、RCE等检测,并提供DNSLog盲测与HTML报告生成。文章提供了详细命令行用法,适合安全人员用于自动化资产发现与漏洞挖掘,具有较高的实战价值。 综合评分: 70 文章分类: 安全工具,WEB安全,渗透测试
Web安全扫描工具 | JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析
ROOT4044 ROOT4044
夜组安全
2026年3月6日 08:00 青海
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
FLUX v3.0 是一款专业的Web安全扫描工具,JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析等功能。,新增完整规则库、美观HTML报告、可视化统计等功能。
核心特性:
- 🔍 25,000+ 指纹库
- 🛡️ 40+种WAF检测与绕过(含国产厂商)
- 🎯 一键全功能扫描
- 📊 美观HTML报告
- 🤖 智能速率限制与流量伪装
- 🔐 CSRF Token自动提取与Cookie持久化
作者: ROOT4044
功能特性
#
工具使用
pip install -r requirements.txt
一键全功能扫描(推荐)
# 基础全功能扫描(自动跳过DNSLog盲测)
python flux.py https://example.com --full -o report.html
# 全功能扫描 + DNSLog盲测(推荐用于SSRF检测)
python flux.py https://example.com --full --dnslog xxx.dnslog.cn -o report.html
这会自动启用:
- ✅ 指纹识别 (25,000+ 规则)
- ✅ API文档解析 (Swagger/OpenAPI)
- ✅ 密钥有效性验证
- ✅ 敏感路径Fuzzing
- ✅ 参数Fuzzing
- ✅ 漏洞主动测试 (SQLi/XSS/LFI/RCE/SSTI/SSRF)
- ✅ WAF检测与绕过
注意:
--full不包含DELETE测试,如需测试DELETE接口请额外添加--test-delete参数--full模式下如未指定--dnslog,将自动跳过盲SSRF测试(避免交互式输入卡住)
工具获取
点击关注下方名片进入公众号
回复关键字【260306】获取下载链接
往期精彩
[跨平台自动化安全应急响应数据采集与分析工具 | 应急响应、入侵排查、挖矿病毒溯源
2026-03-05
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496388&idx=1&sn=6c8481d1353a47b05e4cdc9a2ff00644&scene=21#wechatredirect)[银河麒麟OS安全检测工具 | 资产清点、合规检查、漏洞扫描和报告生成一体化
2026-03-04
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496374&idx=1&sn=ce539b27c456cd9de061db0ed14415f5&scene=21#wechatredirect)[漏洞报告处理平台 – 支持Nuclei/Xray/自定义txt报告导入,AI驱动的安全漏洞管理与分析系统
2026-03-03
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496368&idx=1&sn=c40c9187ca8b190e3b088cae3cb1f8b8&scene=21#wechatredirect)[漏洞管理平台 | 支持Excel格式的漏洞扫描报告导入、智能关联资产、漏洞可视化管理
2026-03-02
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496361&idx=1&sn=e640bdb2795d33f2a32945b4aed1d3d6&scene=21#wechatredirect)[渗透测试Payload速查平台 | XSS/SQLi/SSRF/RCE | React+TypeScript
2026-02-28
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496352&idx=1&sn=7b8ed88d924b2cfb098dba470262be32&scene=21#wechatredirect)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:夜组安全 ROOT4044 ROOT4044《Web安全扫描工具 | JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论