文章总结: 该文档介绍了一款针对若依Vue系统的自动化漏洞检测工具,支持扫描Swagger泄露、Druid未授权、文件读取、SQL注入、定时任务读取、密码修改及接口越权等漏洞。工具还提供JS接口爬取、批量接口测试和敏感信息搜集等辅助功能,具备多线程并发、代理支持和SSL忽略等特性。建议安全测试人员使用该工具进行若依系统的安全评估。 综合评分: 79 文章分类: 安全工具,漏洞分析,渗透测试
若依 Vue 漏洞检测工具 | 支持若依(RuoYi-Vue)多种安全漏洞
AakiTT AakiTT
夜组安全
2026年7月3日 07:30 青海
在小说阅读器读本章
去阅读
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
若依 Vue 漏洞检测工具,支持自动化扫描若依(RuoYi-Vue)系列系统的多种安全漏洞。JAVA11运行
功能列表
漏洞检测模块
| 功能 | 说明 |
| — | — |
| Swagger检测 | 自动探测 /swagger-ui/index.html、/v2/api-docs、/v3/api-docs 等接口,识别是否存在Swagger文档泄露 |
| Druid检测 | 检测 Druid 监控页面未授权访问,并支持常见弱口令爆破(admin/123456、druid/druid等) |
| 文件读取 | 检测 /common/download/resource 等接口的路径穿越漏洞,可读取 /etc/passwd、windows/win.ini 等系统文件 |
| SQL注入 | 针对若依系统的 dataScope 参数进行 SQL 注入检测 |
| 定时任务读取 | 检测 /monitor/job 定时任务接口的任意文件读取漏洞 |
| 任意密码修改 | 检测若依系统密码重置接口的漏洞 |
| 系统接口越权测试 | 自动测试 /system/user、/system/role、/system/config 等管理接口是否存在未授权访问 |
| 全面检测 | 一键执行以上所有检测项目 |
辅助功能模块
| 功能 | 说明 |
| — | — |
| 获取JS接口 | 多线程爬取目标页面引用的所有 JS 文件,正则提取其中的 API 路径,支持 /prod-api、/dev-api、/monitor 等常见前缀 |
| 接口测试 | 对收集到的接口进行批量测试,支持 GET / POST / POST-JSON 三种请求方式,可自定义请求体 |
| 敏感信息搜集 | 基于已抓取的 JS 内容,检测密码明文、API密钥、JWT令牌、数据库连接字符串、Redis URL、云存储地址、GitHub令牌、内网IP、邮箱、手机号等敏感信息 |
| 自动提取Basedir | 输入完整 URL 时自动识别并填充后端 API 基础路径(如 /prod-api) |
核心特性
- 多线程并发:10线程池并行请求,大幅提升扫描效率
- 代理支持:支持 HTTP 代理,便于使用 Burp Suite 等工具进行流量分析
- SSL忽略:内置 SSL 证书信任策略,支持扫描自签名 HTTPS 站点
- Cookie/Authorization:支持自定义认证头,可测试登录后的接口
- 彩色日志:终端风格彩色日志输出,关键漏洞高亮显示
- 实时进度:进度条 + 状态栏实时显示扫描进度
工具获取
点击关注下方名片进入公众号
回复关键字【260703】获取下载链接
往期精彩
[AI 免杀技术套件 v4.0 绕过主流杀软和 EDR 检测 ( AV Evasion Skill)
2026-07-02
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497172&idx=1&sn=13fd8ae3becf12f4f60742e74c9284a9&scene=21#wechatredirect)[ARL-Next 灯塔二开版 | 企业级自动化资产侦察与漏洞监控“灯塔”
2026-07-01
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497167&idx=1&sn=04dd960d58a33a3411a26d4b54459bc0&scene=21#wechatredirect)[开源企业级主机与容器安全管理平台 | 安全基线、资产管理、漏洞扫描、病毒查杀、EDR 检测与合规审计
2026-06-30
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497162&idx=1&sn=774dcb6cc88a2d5a34bb0830a09d7ed5&scene=21#wechatredirect)[一款针对Spring漏洞框架进行快速利用的图形化工具
2026-06-29
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497150&idx=1&sn=7c61498269bf756cb7458a57f4b0c830&scene=21#wechatredirect)[Cybersparker 攻击面管理利用系统
2026-06-26
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497140&idx=1&sn=a7a4a46aa3ac30c9fa272db02d9be953&scene=21#wechatredirect)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:夜组安全 AakiTT AakiTT《若依 Vue 漏洞检测工具 | 支持若依(RuoYi-Vue)多种安全漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论