文章总结： FLUX是一款专业Web安全扫描工具v3.2.1版本，支持JS敏感信息收集、API端点提取、漏洞测试、WAF检测与绕过等功能。核心特性包括25000+指纹库、40+种WAF检测、一键全功能扫描、HTML报告生成等，提供基础全功能扫描与DNSLog盲测两种模式，适用于安全评估与渗透测试场景。 综合评分： 65 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析

一款专业的Web安全扫描工具 | JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析

ROOT4044 ROOT4044

夜组安全

2026年3月17日 08:01 青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

FLUX 是一款专业的Web安全扫描工具，支持JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析等功能。

FLUX v3.2.1 是一款专业的Web安全扫描工具，在 v3.2.0 基础上修复了多个关键问题，包括端点URL处理、漏洞测试覆盖、WAF绕过等功能。

核心特性:

• 🔍 25,000+ 指纹库
• 🛡️ 40+种WAF检测与绕过（含国产厂商）
• 🎯 一键全功能扫描 + 单功能独立扫描
• 📊 美观HTML报告 + 扫描进度实时显示
• 💾 过程中自动保存结果（防止意外丢失）
• 🤖 智能速率限制与流量伪装
• 🔐 CSRF Token自动提取与Cookie持久化
• 📥 扫描结果导入（支持 fscan/dddd + Web存活验证）

作者: ROOT4044

功能特性

快速开始

一键全功能扫描（推荐）

# 基础全功能扫描（自动跳过DNSLog盲测）
python flux.py -t https://example.com --full -o report.html

# 全功能扫描 + DNSLog盲测（推荐用于SSRF检测）
python flux.py -t https://example.com --full --dnslog xxx.dnslog.cn -o report.html

这会自动启用:

• ✅ 指纹识别 (25,000+ 规则)
• ✅ API文档解析 (Swagger/OpenAPI)
• ✅ 密钥有效性验证
• ✅ 敏感路径Fuzzing
• ✅ 参数Fuzzing
• ✅ 漏洞主动测试 (SQLi/XSS/LFI/RCE/SSTI/SSRF)
• ✅ WAF检测与绕过

注意:

• --full 不包含危险操作测试（DELETE），如需进行此类测试需单独开发
• --full 模式下如未指定 --dnslog，将自动跳过盲SSRF测试（避免交互式输入卡住）

工具获取

点击关注下方名片进入公众号

回复关键字【260317】获取下载链接

往期精彩

[Burpsuite | API 越权测试、快速收集目标网站的所有 API

2026-03-16

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496484&idx=1&sn=edfc70dfc69e40995b0b4b42aa66f8a6&scene=21#wechatredirect)[AK47  | 一款跨平台的漏洞利用与安全评估工具，内置高级引擎与多种安全扩展模块

2026-03-13

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496471&idx=1&sn=5561530750d9fa8f5389935b2a893aea&scene=21#wechatredirect)[一款无需编译的Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计

2026-03-12

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496448&idx=1&sn=dbe268da1368e1ad5a3ff8623c4292e2&scene=21#wechatredirect)[Burp Suite 越权检测辅助插件

2026-03-11

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496435&idx=1&sn=fbf97cd4446ff47282718de0bc8ec2bb&scene=21#wechatredirect)[哥斯拉反射自定义 AES 通信插件加密器，基于Data-Flow Break与动态回调伪装的webshell生成器

2026-03-10

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496423&idx=1&sn=6e2bc0d8f5180c5edde1ebcbb88df257&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 ROOT4044 ROOT4044《一款专业的Web安全扫描工具 | JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析》