工具介绍FLUX 是一款专业的Web安全扫描工具支持JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析等功能。FLUX v3.2.1 是一款专业的Web安全扫描工具在 v3.2.0 基础上修复了多个关键问题包括端点URL处理、漏洞测试覆盖、WAF绕过等功能。核心特性: 25,000 指纹库️ 40种WAF检测与绕过含国产厂商 一键全功能扫描 单功能独立扫描 美观HTML报告 扫描进度实时显示 过程中自动保存结果防止意外丢失 智能速率限制与流量伪装 CSRF Token自动提取与Cookie持久化 扫描结果导入支持 fscan/dddd Web存活验证作者:ROOT4044功能特性 信息收集JS敏感信息收集: 云API密钥、认证令牌、个人信息、硬编码凭据等含熵值验证API端点提取: 自动提取JS中的API接口路径支持绝对/相对/模块路径API文档解析: 支持Swagger/OpenAPI/Postman文档解析页面爬取: 深度爬取网站页面提取表单和链接子域名发现: 自动收集子域名 指纹识别增强版指纹库规模: 25,000条指纹规则支持类别: OA系统、开发框架、Web服务器、安全设备、数据库、CMS等检测方式: 多特征交叉验证、Favicon Hash、特定文件探测置信度评分: 采用加权评分机制多特征验证降低误报多特征匹配≥2种不同方法匹配高置信度单一特征favicon hash等强特征通用关键词过滤避免login、admin等通用词汇误报️ 漏洞测试差分检测SQL Injection: SQL注入检测带基准线差分测试XSS: 跨站脚本检测反射型、DOM型LFI: 本地文件包含检测RCE: 远程代码执行检测XXE: XML实体注入检测SSTI: 服务器端模板注入检测SSRF: 服务端请求伪造检测支持交互式DNSLog输入Cloud Security: 云存储桶安全检测Access Key泄露: 检测12种云服务商的Access Key/Secret Key阿里云、腾讯云、华为云、AWS、百度云、七牛云、又拍云、京东云、Google Cloud、Azure、Firebase等存储桶遍历: 测试未授权列出存储桶文件存储桶接管: 检测可接管的废弃存储桶ACL/Policy泄露: 测试访问控制列表和策略配置泄露未授权操作: 测试未授权上传、删除文件差分测试机制:发送正常请求获取基准响应状态码、长度、内容hash发送Payload后对比差异显著差异才判定为漏洞误报率降低80% WAF检测与绕过WAF识别: 自动识别40种WAF国际16种 国产24种国产支持阿里云盾、腾讯云WAF、华为云WAF、安全狗、360网站卫士、知道创宇、安恒、长亭等绕过技术:SQLi: 注释混淆、编码绕过、大小写变化、空格替代XSS: URL编码、HTML实体、替代标签、PolyglotsLFI: 路径编码、双编码、空字节RCE: printf编码、过滤器绕过HTTP绕过: X-Forwarded-For伪造、爬虫User-Agent、请求延迟调整 智能防护规避自适应速率限制: 根据服务器响应动态调整请求频率Header轮换: 4种真实浏览器指纹轮换Chrome/Windows, Chrome/Mac, Firefox, Safari流量指纹伪装: 完整的Sec-Ch-Ua头、Accept-Language等CSRF Token自动提取: 支持6种常见Token格式Cookie持久化: 保存/加载会话状态支持登录后扫描 JS代码分析混淆还原: 支持eval(atob(…))、String.fromCharCode、\x十六进制、\uUnicode解码DOM XSS检测: 静态污点分析追踪source(location.hash)到sink(innerHTML)的数据流API参数提取: 从JS代码中提取fetch/ajax调用的参数名参数Fuzzing: 对提取的参数进行自动模糊测试 报告生成HTML报告: 美观的可视化报告含统计图表JSON输出: 结构化数据便于集成请求/响应包: 详细的HTTP请求和响应信息快速开始一键全功能扫描推荐# 基础全功能扫描自动跳过DNSLog盲测python flux.py-thttps://example.com--full-oreport.html# 全功能扫描 DNSLog盲测推荐用于SSRF检测python flux.py-thttps://example.com--full--dnslogxxx.dnslog.cn-oreport.html这会自动启用:✅ 指纹识别 (25,000 规则)✅ API文档解析 (Swagger/OpenAPI)✅ 密钥有效性验证✅ 敏感路径Fuzzing✅ 参数Fuzzing✅ 漏洞主动测试 (SQLi/XSS/LFI/RCE/SSTI/SSRF)✅ WAF检测与绕过注意:--full不包含危险操作测试DELETE如需进行此类测试需单独开发--full模式下如未指定--dnslog将自动跳过盲SSRF测试避免交互式输入卡住工具下载https://github.com/MY0723/FLUX-Webscan/
一款专业的Web安全扫描工具
工具介绍FLUX 是一款专业的Web安全扫描工具支持JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析等功能。FLUX v3.2.1 是一款专业的Web安全扫描工具在 v3.2.0 基础上修复了多个关键问题包括端点URL处理、漏洞测试覆盖、WAF绕过等功能。核心特性: 25,000 指纹库️ 40种WAF检测与绕过含国产厂商 一键全功能扫描 单功能独立扫描 美观HTML报告 扫描进度实时显示 过程中自动保存结果防止意外丢失 智能速率限制与流量伪装 CSRF Token自动提取与Cookie持久化 扫描结果导入支持 fscan/dddd Web存活验证作者:ROOT4044功能特性 信息收集JS敏感信息收集: 云API密钥、认证令牌、个人信息、硬编码凭据等含熵值验证API端点提取: 自动提取JS中的API接口路径支持绝对/相对/模块路径API文档解析: 支持Swagger/OpenAPI/Postman文档解析页面爬取: 深度爬取网站页面提取表单和链接子域名发现: 自动收集子域名 指纹识别增强版指纹库规模: 25,000条指纹规则支持类别: OA系统、开发框架、Web服务器、安全设备、数据库、CMS等检测方式: 多特征交叉验证、Favicon Hash、特定文件探测置信度评分: 采用加权评分机制多特征验证降低误报多特征匹配≥2种不同方法匹配高置信度单一特征favicon hash等强特征通用关键词过滤避免login、admin等通用词汇误报️ 漏洞测试差分检测SQL Injection: SQL注入检测带基准线差分测试XSS: 跨站脚本检测反射型、DOM型LFI: 本地文件包含检测RCE: 远程代码执行检测XXE: XML实体注入检测SSTI: 服务器端模板注入检测SSRF: 服务端请求伪造检测支持交互式DNSLog输入Cloud Security: 云存储桶安全检测Access Key泄露: 检测12种云服务商的Access Key/Secret Key阿里云、腾讯云、华为云、AWS、百度云、七牛云、又拍云、京东云、Google Cloud、Azure、Firebase等存储桶遍历: 测试未授权列出存储桶文件存储桶接管: 检测可接管的废弃存储桶ACL/Policy泄露: 测试访问控制列表和策略配置泄露未授权操作: 测试未授权上传、删除文件差分测试机制:发送正常请求获取基准响应状态码、长度、内容hash发送Payload后对比差异显著差异才判定为漏洞误报率降低80% WAF检测与绕过WAF识别: 自动识别40种WAF国际16种 国产24种国产支持阿里云盾、腾讯云WAF、华为云WAF、安全狗、360网站卫士、知道创宇、安恒、长亭等绕过技术:SQLi: 注释混淆、编码绕过、大小写变化、空格替代XSS: URL编码、HTML实体、替代标签、PolyglotsLFI: 路径编码、双编码、空字节RCE: printf编码、过滤器绕过HTTP绕过: X-Forwarded-For伪造、爬虫User-Agent、请求延迟调整 智能防护规避自适应速率限制: 根据服务器响应动态调整请求频率Header轮换: 4种真实浏览器指纹轮换Chrome/Windows, Chrome/Mac, Firefox, Safari流量指纹伪装: 完整的Sec-Ch-Ua头、Accept-Language等CSRF Token自动提取: 支持6种常见Token格式Cookie持久化: 保存/加载会话状态支持登录后扫描 JS代码分析混淆还原: 支持eval(atob(…))、String.fromCharCode、\x十六进制、\uUnicode解码DOM XSS检测: 静态污点分析追踪source(location.hash)到sink(innerHTML)的数据流API参数提取: 从JS代码中提取fetch/ajax调用的参数名参数Fuzzing: 对提取的参数进行自动模糊测试 报告生成HTML报告: 美观的可视化报告含统计图表JSON输出: 结构化数据便于集成请求/响应包: 详细的HTTP请求和响应信息快速开始一键全功能扫描推荐# 基础全功能扫描自动跳过DNSLog盲测python flux.py-thttps://example.com--full-oreport.html# 全功能扫描 DNSLog盲测推荐用于SSRF检测python flux.py-thttps://example.com--full--dnslogxxx.dnslog.cn-oreport.html这会自动启用:✅ 指纹识别 (25,000 规则)✅ API文档解析 (Swagger/OpenAPI)✅ 密钥有效性验证✅ 敏感路径Fuzzing✅ 参数Fuzzing✅ 漏洞主动测试 (SQLi/XSS/LFI/RCE/SSTI/SSRF)✅ WAF检测与绕过注意:--full不包含危险操作测试DELETE如需进行此类测试需单独开发--full模式下如未指定--dnslog将自动跳过盲SSRF测试避免交互式输入卡住工具下载https://github.com/MY0723/FLUX-Webscan/
