文章总结： FlowEye是一款集成BurpSuite的被动漏洞扫描平台，旨在通过多引擎并行检测与智能指纹识别提升渗透测试效率。该工具支持SQL注入、XSS及RCE等漏洞检测，具备零配置启动、漏洞去重、Webhook告警及中文界面等特性。文章详细介绍了其核心功能、近期更新如SQL注入增强与插件汉化、多平台部署步骤及配置示例，为安全人员提供了高效的辅助检测方案。 综合评分： 75 文章分类： 渗透测试,安全工具,WEB安全,产品介绍,漏洞分析

渗透测试提速利器：FlowEye 被动扫描平台，Burp 集成 + 多引擎并行检测

Jackhou Jackhou

渗透安全HackTwo

2026年1月22日 00:00 广东

0x01 工具介绍

在渗透测试中，人工挖掘漏洞效率低下，传统扫描工具常存在配置复杂、误报率高、与工作流脱节等问题。FlowEye（流量之眼）作为专为安全测试人员打造的被动漏洞扫描平台，完美解决这一痛点。它与 Burp Suite 无缝集成，可实时捕获并分析 HTTP 流量，凭借 1000 + 指纹规则智能识别目标技术栈，通过多引擎并行机制高效检测 SQL 注入、XSS、反序列化等漏洞。零配置开箱即用的特性搭配中文界面，大幅降低使用门槛，同时支持 Webhook 告警与漏洞去重，让渗透测试流程更顺畅，帮助安全人员聚焦核心漏洞挖掘，显著提升测试效率。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

为什么选择 FlowEye？

| 特性 | 描述 | | — | — | | 🎯 精准识别 | 内置 1000+ 指纹规则，自动识别目标技术栈 | | 🧠 智能调度 | 根据指纹结果智能选择扫描引擎，避免无效扫描 | | ⚡ 高效扫描 | 多引擎并行，支持 Shiro/Struts2/SQL注入/XSS 等漏洞检测 | | 🖥️ 现代界面 | React + TailwindCSS 构建的精美 Web UI | | 📦 开箱即用 | 单文件可执行，无需复杂配置 | | 🇨🇳 中文界面 | Burp 插件完整中文汉化 |

✨ 功能特性

• ✅ 零配置启动 – 无需任何配置文件，开箱即用
• ✅ 完全嵌入 – 前端 UI + 字典 + 规则全部内置到二进制
• ✅ 智能指纹识别 – 自动识别 Spring/Shiro/Struts2 等框架（1000+ 规则）
• ✅ 多引擎扫描 – SQLi/XSS/RCE/目录扫描/反序列化等
• ✅ 实时监控 – WebSocket 实时推送扫描结果
• ✅ 漏洞去重 – 智能过滤重复漏洞
• ✅ Webhook 告警 – 支持飞书/钉钉/企业微信/Slack

0x03更新说明

智能被动漏洞扫描平台 - SQLi增强与Burp插件汉化✨ 新增功能SQL注入检测增强🔍 布尔盲注差异检测 - 通过响应对比识别盲注漏洞🌐 DNSLog OOB带外检测 - 支持Ceye/Dnslog.cn等平台📝 JSON参数模糊测试 - 自动解析并测试JSON请求体目录扫描增强📂 层级遍历支持 - 配置 hierarchical_scan 和 max_path_depth🔗 智能路径构建 - 自动拆解URL路径逐层扫描Burp插件优化🇨🇳 完整中文汉化 - 所有UI文本已翻译为中文📊 QPS实时统计 - 每秒请求数动态显示ℹ️ 作者信息展示 - 映雪安全 | yyyxxx.cc🌙 日志深色主题 - 更好的可读性⚡ 连接状态动画 - 实时反馈连接状态🧪 测试覆盖新增 68 个单元测试用例，覆盖所有主要扫描引擎

0x04 使用介绍

📦使用指南

下载

floweye-v0.1.0-final.tar.gz

解压后包含：

• 多平台可执行文件（macOS/Linux/Windows）
• Burp Suite 插件
• 使用文档

启动服务

# macOS Apple Silicon./floweye-darwin-arm64# macOS Intel./floweye-darwin-amd64# Linux./floweye-linux-amd64# Windowsfloweye-windows-amd64.exe

启动后访问：http://localhost:8080

1. 打开 Burp Suite
2. 进入 Extensions → Installed
3. 点击 Add，选择 floweye-burp-plugin-1.0.0.jar
4. 确认插件加载成功
5. 通过 Burp 浏览目标网站，FlowEye 自动接收流量并扫描

📚 使用教程

基础配置

FlowEye 支持零配置启动，如需自定义配置，在可执行文件同目录创建 config.yaml：

server:  port: 8080              # 服务端口  host: "0.0.0.0"         # 监听地址filter:  domain_whitelist:       # 域名白名单    - "*.example.com"    - "api.target.com"  enable_dedup: true      # 启用去重webhook:  enabled: true  provider: feishu        # 飞书/钉钉/企业微信  webhook_url: "https://open.feishu.cn/open-apis/bot/v2/hook/xxx"  min_severity: high      # 最低告警级别

钉钉

webhook:  enabled: true  provider: dingtalk  webhook_url: "https://oapi.dingtalk.com/robot/send?access_token=xxx"  secret: "your-secret"  min_severity: high

企业微信

webhook:  enabled: true  provider: wecom  webhook_url: "https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=xxx"  min_severity: high

白名单配置

建议配置域名白名单，避免扫描无关目标：

filter:  domain_whitelist:    - "*.target.com"      # 支持通配符    - "api.example.com"   # 精确匹配    - "192.168.1.*"       # IP 段

引擎管理

在 Web UI 的 扫描引擎 页面可以：

• 启用/禁用特定引擎
• 查看引擎统计信息
• 调整扫描参数

视频教程

https://www.bilibili.com/video/BV1KorLBREcd

🔧 技术栈

| 组件 | 技术 | | — | — | | 后端框架 | Go 1.21+ / Gin | | 数据库 | SQLite 3 | | 前端框架 | React 18 / TypeScript | | UI 库 | TailwindCSS / shadcn/ui | | Burp 插件 | Java / Montoya API |

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5044+)，包含全网一些付费扫描工具及内部原创的Burpsuite自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员，CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2400+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/d8wtW

👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260122获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2025.12专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo Jackhou Jackhou《渗透测试提速利器：FlowEye 被动扫描平台，Burp 集成 + 多引擎并行检测》