文章总结： 该文档介绍了JS漏洞检测工具FUYIO1.3版，可自动识别前端框架版本并匹配CVE漏洞，深度挖掘AK/SK等敏感信息。新版本新增DOM-XSS分析与敏感来源提示，支持内网HTTPS环境及自定义请求头，有效提升Web渗透测试中前端安全隐患排查效率。 综合评分： 78 文章分类： 渗透测试,安全工具,WEB安全

JS 漏洞检测与敏感信息自动化搜集工具快速定位 Webpack/Vue 漏洞，挖掘 AK/SK 等敏感信息

swordlover

渗透安全HackTwo

2026年1月4日 00:01 广东

0x01 工具介绍

在 Web 渗透测试与企业安全巡检场景中，前端 JS 文件往往隐藏着大量安全隐患，诸如 Vue、Webpack 等框架的版本漏洞，以及开发者误植入的 AK/SK、IP 端口、隐私信息等敏感配置。传统人工排查不仅效率低下。该工具专为解决上述痛点而生，可自动化完成前端框架版本识别、CVE 漏洞匹配，同时深度挖掘各类敏感信息并支持导出，适配内网 HTTPS 环境，无需外网依赖，显著降低前端安全检测门槛，提升工作效率。。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

精准 JS 框架漏洞检测：自动识别 Vue、React、jQuery、Webpack 等主流前端组件及版本，匹配内置 CVE 漏洞库，精准定位风险版本并输出漏洞详情与利用思路。

全维度敏感信息挖掘：深度扫描 HTML 及 JS 文件，高效提取 AK/SK、地图密钥、AES 密钥等配置信息，以及身份证、手机号、邮箱等隐私数据，支持导出为 TXT 文件。

内网环境适配优化：支持 HTTPS 证书绕过，可自定义 Cookie、Authorization 请求头及代理配置，适配无外网依赖的内网场景，设置超时控制避免程序卡死。

高性能自动化处理：具备高效爬取与解析能力，可对 Webpack 打包的 chunk 文件进行拼接、存活验证，全过程无害化检测，不主动发送 POC，保障测试安全。

0x03更新说明

🎉扶摇(FUYIO)1.3版本更新-马上2026年！就问你bangbang不bangbang!🚨 免责声明：请勿用于非法用途，仅限授权测试！买了个猫标，可可爱爱的外设令人心情大好，然后更新了1.3版本，详细信息如下：【新增】敏感信息来源提示-感谢【M242ing】世界有你真好~现在生成的敏感信息.txt里的敏感信息后面会提示来源js文件是哪个，可以更清晰的知道是哪个js文件泄露的该内容，path部分考虑到方便复制出来做其他探测，这块就没加来源。效果见图一【新增】新增DOM-XSS分析扶摇现在可以对前端代码中潜在的xss风险进行检测，并生成dom-xss-result.txt记录风险点和代码片段，协助快速定位风险位置。此功能建议自定义好cookie或者authorization后检测登录后地址使用，效果见图二，图三（以dvwa为例）【修复】批量检测txt记录被覆盖的问题扶摇在批量检测的时候不会一直覆盖前面的内容了，现在生成的敏感信息.txt可以完整显示本轮的检测所有URL的内容。【修复】无头浏览器访问模式下自定义请求头未即时生效上个版本发现自定义完后第一个请求包不带自定义的请求头，现在不会了。。。【修复】颜色代码错误显示重做了颜色相关的代码，弃用了ANSI转义序列，现在在一些新机器上可以正常显示颜色了。【优化】控制台打印效果重做了控制台打印的各类提示信息的颜色

0x04 使用介绍

📦使用指南

FUYIO.exe -h进入

options:  -h, --help            show this help message and exit  -u URL, --url URL     使用-u 网站URL #扫描目标网站  -r TXT, --txt TXT     使用-r ip.txt #批量扫描网站  -c COOKIE, --cookie COOKIE                        使用-c 自定义Cookie内容 #设置请求Cookie  -A AUTH, --auth AUTH  使用-A 自定义Authentication内容 #设置Authorization请求头  -proxy PROXY, --proxy PROXY                        使用-proxy 自定义代理 #格式: http://ip:port 或 socks5://ip:port  -nobrow, --nobrow     使用-nobrow 强制使用requests模式 #跳过无头浏览器，运行更丝滑但会失去一些什么

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5021+)，包含全网一些付费扫描工具及内部原创的Burpsuite自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员，CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2300+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/cfn15

👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260104获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2025.12专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo swordlover《JS 漏洞检测与敏感信息自动化搜集工具快速定位 Webpack/Vue 漏洞，挖掘 AK/SK 等敏感信息》