文章总结： 本文介绍了一款名为FLUX的WEB安全扫描工具，具备25000+指纹识别、WAF检测绕过及云安全检测能力。该工具支持JS敏感信息收集、API解析及智能流量伪装，利用差分测试机制降低误报率。文中详细说明了安装步骤与命令行用法，涵盖漏洞测试、代理配置等功能，适合渗透测试人员进行自动化安全评估与漏洞挖掘，具有较高的实战应用价值。 综合评分： 87 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析,云安全

WEB安全扫描工具–FLUX

原创

一个努力的学渣 一个努力的学渣

一个努力的学渣

2026年3月4日 20:51 北京

免责声明

本文只做学术研究使用，不可对真实未授权网站使用，如若非法他用，与平台和本文作者无关，需自行负责！

下载地址

下载地址：https://github.com/MY0723/FLUX-Webscan

核心特性

• 🔍 25,000+ 指纹库
• 🛡️ 40+种WAF检测与绕过（含国产厂商）
• 🎯 一键全功能扫描
• 📊 美观HTML报告
• 🤖 智能速率限制与流量伪装
• 🔐 CSRF Token自动提取与Cookie持久化

功能特性

🔍 信息收集

• JS敏感信息收集: 云API密钥、认证令牌、个人信息、硬编码凭据等（含熵值验证）
• API端点提取: 自动提取JS中的API接口路径（支持绝对/相对/模块路径）
• API文档解析: 支持Swagger/OpenAPI/Postman文档解析
• 页面爬取: 深度爬取网站页面，提取表单和链接
• 子域名发现: 自动收集子域名

🎯 指纹识别（增强版）

• 指纹库规模: 25,000+条指纹规则

• 支持类别: OA系统、开发框架、Web服务器、安全设备、数据库、CMS等

• 检测方式: 多特征交叉验证、Favicon Hash、特定文件探测

• 置信度评分: 采用加权评分机制，多特征验证降低误报

• 多特征匹配：≥2种不同方法匹配

• 高置信度单一特征：favicon hash等强特征

• 通用关键词过滤：避免”login”、”admin”等通用词汇误报

🛡️ 漏洞测试（差分检测）

• SQL Injection: SQL注入检测（带基准线差分测试）

• XSS: 跨站脚本检测（反射型、DOM型）

• LFI: 本地文件包含检测

• RCE: 远程代码执行检测

• XXE: XML实体注入检测

• SSTI: 服务器端模板注入检测

• SSRF: 服务端请求伪造检测（支持交互式DNSLog输入）

• Cloud Security: 云存储桶安全检测

• Access Key泄露: 检测12种云服务商的Access Key/Secret Key（阿里云、腾讯云、华为云、AWS、百度云、七牛云、又拍云、京东云、Google Cloud、Azure、Firebase等）

• 存储桶遍历: 测试未授权列出存储桶文件

• 存储桶接管: 检测可接管的废弃存储桶

• ACL/Policy泄露: 测试访问控制列表和策略配置泄露

• 未授权操作: 测试未授权上传、删除文件

差分测试机制:

• 发送正常请求获取基准响应（状态码、长度、内容hash）
• 发送Payload后对比差异
• 显著差异才判定为漏洞，误报率降低80%+

🔥 WAF检测与绕过

• WAF识别: 自动识别40+种WAF（国际16种 + 国产24种）

• 国产支持：阿里云盾、腾讯云WAF、华为云WAF、安全狗、360网站卫士、知道创宇、安恒、长亭等

• 绕过技术:

• SQLi: 注释混淆、编码绕过、大小写变化、空格替代

• XSS: URL编码、HTML实体、替代标签、Polyglots

• LFI: 路径编码、双编码、空字节

• RCE: printf编码、过滤器绕过

• HTTP绕过: X-Forwarded-For伪造、爬虫User-Agent、请求延迟调整

🤖 智能防护规避

• 自适应速率限制: 根据服务器响应动态调整请求频率
• Header轮换: 4种真实浏览器指纹轮换（Chrome/Windows, Chrome/Mac, Firefox, Safari）
• 流量指纹伪装: 完整的Sec-Ch-Ua头、Accept-Language等
• CSRF Token自动提取: 支持6种常见Token格式
• Cookie持久化: 保存/加载会话状态，支持登录后扫描

🔬 JS代码分析

• 混淆还原: 支持eval(atob(…))、String.fromCharCode、\x十六进制、\uUnicode解码
• DOM XSS检测: 静态污点分析追踪source(location.hash)到sink(innerHTML)的数据流
• API参数提取: 从JS代码中提取fetch/ajax调用的参数名
• 参数Fuzzing: 对提取的参数进行自动模糊测试

📊 报告生成

• HTML报告: 美观的可视化报告，含统计图表
• JSON输出: 结构化数据便于集成
• 请求/响应包: 详细的HTTP请求和响应信息

安装依赖

pip install -r requirements.txt

python建议3.7以上

如果失败，执行：python -m pip install –upgrade pip

之后重新安装依赖

快速使用

一键全功能扫描（推荐）：

# 基础全功能扫描（自动跳过DNSLog盲测）python flux.py https://example.com --full -o report.html
# 全功能扫描 + DNSLog盲测（推荐用于SSRF检测）python flux.py https://example.com --full --dnslog xxx.dnslog.cn -o report.html
注意：--full 不包含DELETE测试，如需测试DELETE接口请额外添加 --test-delete 参数--full 模式下如未指定 --dnslog，将自动跳过盲SSRF测试（避免交互式输入卡住）

这里没扫完就结束了，时间太长了，有时间的师傅可以自己扫描看下结果

这会自动启用：

• ✅ 指纹识别 (25,000+ 规则)
• ✅ API文档解析 (Swagger/OpenAPI)
• ✅ 密钥有效性验证
• ✅ 敏感路径Fuzzing
• ✅ 参数Fuzzing
• ✅ 漏洞主动测试 (SQLi/XSS/LFI/RCE/SSTI/SSRF)
• ✅ WAF检测与绕过

命令行参数

单目标扫描：python flux.py https://example.com批量扫描(逗号分隔)：python flux.py "https://example1.com,https://example2.com"批量扫描(文件)：python flux.py urls.txt深度扫描：python flux.py https://example.com -d 5漏洞主动测试 (SQLi/XSS/LFI/RCE/SSTI/云安全)：python flux.py https://example.com --vuln-test云安全测试：# 基础云安全测试（包含在--vuln-test中）python flux.py https://example.com --vuln-test -o report.html
# 一键全功能扫描（包含云安全测试）python flux.py https://example.com --full -o report.html

云安全测试内容：

• 云Access Key泄露检测: 检测阿里云、腾讯云、华为云、AWS等云服务商的Access Key/Secret Key
• 存储桶URL泄露: 识别JS代码、页面内容中的存储桶域名
• 存储桶遍历漏洞: 测试存储桶是否允许未授权列出文件
• 存储桶接管漏洞: 检测已删除/未注册的存储桶是否可被接管
• 存储桶ACL泄露: 测试是否可未授权获取存储桶访问控制列表
• 存储桶Policy泄露: 测试是否可未授权获取存储桶策略配置
• 存储桶CORS配置泄露: 测试是否可未授权获取CORS配置
• 未授权上传/删除: 测试存储桶是否允许未授权上传或删除文件

支持的云云服务商：

敏感路径fuzzing：python flux.py https://example.com --fuzz-paths生成HTML报告：python flux.py https://example.com -o report.html标准扫描 (推荐)：python flux.py https://example.com --vuln-test -o report.html全面扫描 (深度)除delete测试除外，如需要单独加参数--test-delete：python flux.py https://example.com --full --dnslog xxx.dnslog.cn -o report.html使用代理扫描：python flux.py https://example.com --vuln-test --proxy http://127.0.0.1:8080 -o report.html
SSRF测试（带DNSLog）：# 方式1: 命令行指定DNSLog域名（推荐，非交互式）python flux.py https://example.com --vuln-test --dnslog xxx.dnslog.cn -o report.html
# 方式2: 交互式输入（扫描过程中提示输入）python flux.py https://example.com --vuln-test# 提示: 请输入DNSLog子域名 (例如: xxx.dnslog.cn):
# 方式3: 一键全功能扫描 + DNSLogpython flux.py https://example.com --full --dnslog xxx.dnslog.cn -o report.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个努力的学渣 一个努力的学渣 一个努力的学渣《WEB安全扫描工具–FLUX》