文章总结： FLUX是一款专业的Web安全扫描工具，支持静态/渲染/混合三种扫描模式，具备JS智能解析、端点融合引擎、敏感信息匹配、漏洞优先级排序等功能。工具集成25,000+指纹库、40+种WAF检测与绕过技术，支持SQL注入、XSS、云安全等漏洞测试，提供HTML/JSON报告输出。文档包含工具使用示例和下载地址，但后半部分主要为作者的知识付费圈子和安全认证广告推广。 综合评分： 60 文章分类： 安全工具,解决方案,软文广告,安全培训,其他

---

[工具推荐] 专业的Web安全扫描工具FLUX

MY0723 MY0723

陌笙不太懂安全

2026年4月7日 17:34 河北

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号陌笙不太懂安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

前言

FLUX v5.2.3是一款专业的Web安全扫描工具，支持静态/渲染/混合三种扫描模式，JS智能解析、端点融合引擎、敏感信息智能匹配、漏洞优先级排序、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、浏览器渲染扫描、运行时XHR/fetch请求捕获、状态化动态Spider、前端路由追踪等功能。

核心特性:

🔍 25,156+ 指纹库🛡️ 40+种WAF检测与绕过（含国产厂商）🎯 一键全功能扫描📊 美观HTML报告📄 实时JSON报告（每10秒自动保存）🔄 fscan/dddd结果导入🤖 智能速率限制与流量伪装🔐 CSRF Token自动提取与Cookie持久化💾 断点续扫增强（保存完整状态）🛡️ 减少误报（隐藏文件/敏感路径过滤优化）🌐 静态/渲染/混合三种扫描模式🖥️ 浏览器渲染扫描（SPA/前端路由支持）📡 运行时XHR/fetch请求捕获（含响应特征）🤝 登录态/Cookie/Storage/Token会话贯通🖱️ 轻量交互引擎（智能评分点击）🕷️ 状态化动态Spider（BFS状态队列）🛤️ 前端路由追踪（pushState/hashchange）🔇 结果降噪（第三方/埋点过滤）

功能特性

🔍 信息收集JS敏感信息收集: 云API密钥、认证令牌、个人信息、硬编码凭据等（含熵值验证）API端点提取: 自动提取JS中的API接口路径（支持绝对/相对/模块路径）API文档解析: 支持Swagger/OpenAPI/Postman文档解析页面爬取: 深度爬取网站页面，提取表单和链接子域名发现: 自动收集子域名

🎯 指纹识别（增强版）指纹库规模: 25,000+条指纹规则支持类别: OA系统、开发框架、Web服务器、安全设备、数据库、CMS等检测方式: 多特征交叉验证、Favicon Hash、特定文件探测置信度评分: 采用加权评分机制，多特征验证降低误报多特征匹配：≥2种不同方法匹配高置信度单一特征：favicon hash等强特征通用关键词过滤：避免"login"、"admin"等通用词汇误报
🛡️ 漏洞测试（差分检测）SQL Injection: SQL注入检测（带基准线差分测试）XSS: 跨站脚本检测（反射型、DOM型）LFI: 本地文件包含检测RCE: 远程代码执行检测XXE: XML实体注入检测SSTI: 服务器端模板注入检测SSRF: 服务端请求伪造检测（支持交互式DNSLog输入）Cloud Security: 云存储桶安全检测Access Key泄露: 检测12种云服务商的Access Key/Secret Key（阿里云、腾讯云、华为云、AWS、百度云、七牛云、又拍云、京东云、Google Cloud、Azure、Firebase等）存储桶遍历: 测试未授权列出存储桶文件存储桶接管: 检测可接管的废弃存储桶ACL/Policy泄露: 测试访问控制列表和策略配置泄露未授权操作: 测试未授权上传、删除文件

✅ 漏洞利用验证（v4.1+）
高危/严重漏洞自动验证，覆盖：SQL注入：时间盲注、错误回显RCE：延迟执行、输出回显LFI：文件读取SSRF：内网服务访问云元数据：云实例元数据访问AI/K8s/Docker：未授权访问生成PoC与影响评估
🔥 WAF检测与绕过
自动识别40+种WAF（国际16种 + 国产24种）国产支持：阿里云盾、腾讯云WAF、华为云WAF、安全狗、360网站卫士、知道创宇、安恒、长亭等
绕过技术：SQLi：注释混淆、编码绕过、空格替代XSS：URL编码、HTML实体、PolyglotsLFI：路径编码、双编码、空字节RCE：printf编码、过滤器绕过HTTP绕过：X-Forwarded-For伪造、爬虫UA、请求延迟调整
🤖 智能防护规避
自适应速率限制：根据响应动态调整频率Header轮换：4种真实浏览器指纹流量指纹伪装：完整Sec-Ch-Ua等头信息CSRF Token自动提取：支持6种常见格式Cookie持久化：保存/加载会话，支持登录后扫描
🔬 JS代码分析
混淆还原：eval、atob、String.fromCharCode、十六进制、Unicode解码DOM XSS检测：静态污点分析（location.hash → innerHTML）API参数提取：从fetch/ajax调用中提取参数名参数Fuzzing：自动模糊测试
📊 报告生成
HTML报告：可视化图表，美观易读JSON输出：结构化数据，便于集成请求/响应包：详细HTTP交互信息漏洞验证状态：区分已验证/未验证

使用示例

单目标扫描

python flux.py -t https://example.com

批量扫描(逗号分隔)

python flux.py -t "https://example1.com,https://example2.com"

批量扫描(文件)

python flux.py -tf urls.txt

深度扫描

python flux.py -t https://example.com -d 5

漏洞主动测试 (SQLi/XSS/LFI/RCE/SSTI/云安全)

python flux.py -t https://example.com --vuln-test

云安全测试

基础云安全测试（包含在–vuln-test中）

python flux.py -t https://example.com --vuln-test -o report.html

一键全功能扫描（包含云安全测试）

python flux.py -t https://example.com --full -o report.html

云安全测试内容:

Access Key 泄露检测：覆盖阿里云、腾讯云、华为云、AWS等主流厂商存储桶URL泄露识别：智能提取JS及页面中的存储桶域名存储桶遍历漏洞：检测是否允许未授权列出文件目录存储桶接管漏洞：检测已删除/未注册桶是否可被接管ACL泄露检测：测试未授权获取访问控制列表Policy泄露检测：测试未授权获取存储桶策略配置CORS配置泄露：测试未授权获取跨域资源配置未授权上传/删除：测试是否可未授权操作文件

敏感路径fuzzing

python flux.py -t https://example.com --fuzz-paths

生成HTML报告

python flux.py -t https://example.com -o report.html

标准扫描 (推荐)

python flux.py -t https://example.com --vuln-test -o report.html

全面扫描 (深度)除delete测试除外，如需要单独加参数–test-delete

python flux.py -t https://example.com --full --dnslog xxx.dnslog.cn -o report.html

使用代理扫描

python flux.py -t https://example.com --vuln-test --proxy http://127.0.0.1:8080 -o report.html

渲染扫描（SPA/前端路由站点）

渲染模式 – 使用浏览器渲染扫描

python flux.py -t https://example.com --scan-mode render -o report.html

混合模式 – 静态+渲染（自动判断是否需要渲染）

python flux.py -t https://example.com --scan-mode hybrid -o report.html

渲染+交互 – 启用轻量交互引擎点击高价值元素

python flux.py -t https://example.com --scan-mode hybrid --render-enable-interaction -o report.html

渲染+Cookie – 加载登录态进行扫描

python flux.py -t https://example.com --scan-mode hybrid --cookie-file cookies.json -o report.html

深度动态识别扫描

启用深度状态化Spider（推荐用于复杂SPA）

python flux.py -t https://example.com --scan-mode hybrid --render-deep-spider -o report.html

深度Spider + 存储同步（登录态站点）

python flux.py -t https://example.com --scan-mode hybrid --render-deep-spider --cookie-file cookies.json -o report.html

SSRF测试（带DNSLog）

方式1: 命令行指定DNSLog域名（推荐，非交互式）

python flux.py -t https://example.com --vuln-test --dnslog xxx.dnslog.cn -o report.html

方式2: 交互式输入（扫描过程中提示输入）

python flux.py -t https://example.com --vuln-test

提示: 请输入DNSLog子域名 (例如: xxx.dnslog.cn):

方式3: 一键全功能扫描 + DNSLog

python flux.py -t https://example.com --full --dnslog xxx.dnslog.cn -o report.html

技术亮点

多特征指纹交叉验证告别单一匹配逻辑，要求至少两种不同维度的特征校验，或采用高置信度单一特征判定。从机制上降低误判风险，提升检测可靠性。
差分对比测试机制漏洞探测前先采集基线响应数据，对比正常请求与携带Payload的请求之间的响应差异。相比传统方式，误报率可降低80%以上。
线程安全机制设计引入 threading.Lock 对共享资源进行加锁保护，防止并发冲突导致重复扫描或数据错乱。保障高并发场景下的扫描稳定性。
智能WAF识别与绕过引擎支持自动识别40余种主流WAF类型，检测后自动切换至绕过模式。集成编码、混淆、伪造HTTP头等多种绕过策略，提升对防护系统的穿透能力。
熵值校验识别伪密钥在敏感信息检测环节引入Shannon Entropy（信息熵）计算。有效过滤示例密钥、占位符或假密钥等低质量数据，提高真实密钥的识别准确率。

工具地址

https://github.com/MY0723/FLUX-Webscan

总结

实践是检验真理的唯一标准，感觉ok可以自己去实战测试。

交流群

广告：cisp pte/pts &nisp1级2级低价报考

陌笙安全纷传圈子+陌笙src挖掘知识库+陌笙安全漏洞库+陌笙安全面试题库简单介绍（加入纷传圈子送知识库+漏洞库+面试题库）

如果觉得合适可以加入,圈子目前价格39.9元，价格只会根据圈子内容和圈子人数进行上调，不会下跌。。。

圈子福利

edu漏洞挖掘1v1指导出洞

陌笙src挖掘知识库介绍（内容持续更新中）

信息收集(会永久提供fofa-key助力)弱口令漏洞任意文件读取&删除&下载漏洞sql注入漏洞url重定向漏洞未授权访问漏洞挖掘XSS漏洞挖掘等等常见漏洞EDUSRC证书站挖掘案例分享SRC挖掘实战针对各种常见功能总结的常见测试思路等经典常见Nday漏洞复现等各模块不在一一介绍

src挖掘基础

src挖掘实战

edusrc

经典nday复现

陌笙安全漏洞库介绍

1day&0day分享EDU学校相关漏洞Web应用漏洞CMS漏洞OA产品漏洞中间件漏洞云安全漏洞人工智能漏洞其他漏洞

陌笙安全面试库

陌笙纷传圈子介绍

1、src挖掘思维导图，信息收集思维导图，edusrc挖掘思维导图，以及后续的红队&面试思维导图&自己网安笔记等持续更新2、2025-2026的edusrc实战报告包含证书站和非证书站以及2025之前的各种优质报思路分享3、各种src报告思路分享（内部&外部）4、分享各种src挖掘&edusrc挖掘培训资料&视频5、不定期分享通杀、0day6、有圈子群可以技术交流以及不定期抽取证书&免费rank7.分享各种护网资料各家安全厂商讲解视频&精选实战面试题目8、各种框架漏洞技巧分享9、各种源码分享（泛微、正方系统、用友等）10、漏洞挖掘工具&信息收集工具&内网渗透免杀等网安工具分享11、各种ctf资料以及题目分享12、cnvd挖掘技巧&CNVD资产&src资产分享&补天1权重资产分享&fofakey共用13、免杀、逆向、红队攻内网防渗透等课程分享14、漏洞库&字典以各种内容不在一一说明15、cisp-pte/pts&nisp一级&nisp二级&edusrc证书内部价格15、如果有漏洞挖掘问题或者工具资料需求可以找群主(尽量满足)

目前620多条内容，扫码查看详情，持续更新中。。

如果觉得合适可以加入，价格不定期会根据圈子内容和圈子人数进行上调。。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 MY0723 MY0723《[工具推荐] 专业的Web安全扫描工具FLUX》