文章总结： flux-web安全扫描工具v5.4.2是一款支持CLI和Web界面双模式运行的Web安全扫描工具，新增WAF指纹识别与智能绕过引擎、700+通用绕过载荷池、并发扫描优化及二进制文件过滤等功能。该工具支持静态/渲染/混合三种扫描策略，集成Playwright实现SPA/前端路由页面扫描，并提供25,000+指纹库、130+种WAF指纹识别、差分检测机制降低误报，覆盖SQL注入、XSS、LFI、RCE、SSRF等多种漏洞类型，同时具备AI基础设施、Kubernetes、容器及CI/CD配置安全检测能力。 综合评分： 92 文章分类： 安全工具,Web安全,渗透测试,漏洞分析,安全运营

工具分享 | FLUX-Web安全扫描工具 v5.4.2更新

原创

MY0723 MY0723

不秃头的安全

2026年4月13日 15:55 北京

在小说阅读器读本章

去阅读

FLUX-Web安全扫描工具 v5.4.2更新

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

FLUX v5.4.2是一款Web安全扫描工具，支持CLI和Web界面双模式运行。新增WAF指纹识别与智能Bypass引擎、700+通用Bypass Payload池、并发扫描优化、二进制文件过滤、Web界面图形化操作等功能，支持静态/渲染/混合三种扫描策略，集成Playwright实现SPA/前端路由页面扫描。

1、更新日志

v5.4.2 新增功能:
- 🌐 **Web界面模式**: 双击启动完整的图形化界面，支持扫描管理、实时监控、报告管理、参数设置
- 🛡️ **异步渲染扫描修复**: 修复asyncio.run()嵌套事件循环问题，添加浏览器启动超时控制(30秒)
- ⚡ **并发性能优化**:
  - 路径fuzzing: 200+路径并发50线程测试
  - 隐藏文件扫描: 100+文件并发50线程测试
  - JS文件分析: 并发20线程下载分析
- 🔧 **扫描稳定性增强**:
  - 二进制文件过滤: 跳过.apk/.exe/.zip等大型二进制文件(避免下载 APK卡住)
  - 队列去重优化: O(n)→O(1)，添加queue_urls set快速去重
  - 渲染扫描超时: 5分钟超时控制，防止无限等待
  - 浏览器启动超时: 30秒超时，失败自动降级
- 📊 **性能优化**:
  - 保存进度防抖: 30秒间隔，减少I/O阻塞
  - 首页请求去重: 复用_fetch_page_info()响应
  - 线程安全修复: 使用update()/extend()代替引用赋值
  - 重试机制: 指数退避(2^attempt)
- 🔍 **软404检测增强**: 关键词列表扩展到28个
- 🤖 **子域名记录**: 爬取时自动记录子域名到subdomains集合
- 📈 **domainStats显示补全**: 显示端点/敏感/漏洞/JS/页面统计

这里不写使用方法了查看之前文章。

2、核心特性:

• 🔍 25,156+ 指纹库 (含46个AI组件)
• 🛡️ 130+种WAF指纹识别 (融合wafw00f，覆盖云服务/国产/商业/开源)
• 💣 700+通用Bypass Payload (59类绕过技术，12大类SQLi/XSS/LFI/RCE/SSRF)
• 🎯 一键全功能扫描
• 📊 美观HTML报告 (含WAF识别独立Tab)
• 📄 实时JSON报告（每10秒自动保存）
• 🔄 fscan/dddd结果导入
• 🤖 智能速率限制与流量伪装
• 🔐 CSRF Token自动提取与Cookie持久化
• 💾 断点续扫增强（保存完整状态）
• 🛡️ 减少误报（隐藏文件/敏感路径过滤优化）
• 🌐 静态/渲染/混合三种扫描模式
• 🖥️ 浏览器渲染扫描（SPA/前端路由支持）
• 📡 运行时XHR/fetch请求捕获（含响应特征）
• 🤝 登录态/Cookie/Storage/Token会话贯通
• 🖱️ 轻量交互引擎（智能评分点击）
• 🕷️ 状态化动态Spider（BFS状态队列）
• 🛤️ 前端路由追踪（pushState/hashchange）
• 🔇 结果降噪（第三方/埋点过滤）

3、功能特性

🔍 信息收集

• JS敏感信息收集: 云API密钥、认证令牌、个人信息、硬编码凭据等（含熵值验证）
• API端点提取: 自动提取JS中的API接口路径（支持绝对/相对/模块路径）
• API文档解析: 支持Swagger/OpenAPI/Postman文档解析
• 页面爬取: 深度爬取网站页面，提取表单和链接
• 子域名发现: 自动收集子域名

🎯 指纹识别（增强版）

• 指纹库规模: 25,000+条指纹规则

• 支持类别: OA系统、开发框架、Web服务器、安全设备、数据库、CMS等

• 检测方式: 多特征交叉验证、Favicon Hash、特定文件探测

• 置信度评分: 采用加权评分机制，多特征验证降低误报

• 多特征匹配：≥2种不同方法匹配

• 高置信度单一特征：favicon hash等强特征

• 通用关键词过滤：避免”login”、”admin”等通用词汇误报

🛡️ 漏洞测试（差分检测）

• SQL Injection: SQL注入检测（带基准线差分测试）

• XSS: 跨站脚本检测（反射型、DOM型）

• LFI: 本地文件包含检测

• RCE: 远程代码执行检测

• XXE: XML实体注入检测

• SSTI: 服务器端模板注入检测

• SSRF: 服务端请求伪造检测（支持交互式DNSLog输入）

• Cloud Security: 云存储桶安全检测

• Access Key泄露: 检测12种云服务商的Access Key/Secret Key（阿里云、腾讯云、华为云、AWS、百度云、七牛云、又拍云、京东云、Google Cloud、Azure、Firebase等）

• 存储桶遍历: 测试未授权列出存储桶文件

• 存储桶接管: 检测可接管的废弃存储桶

• ACL/Policy泄露: 测试访问控制列表和策略配置泄露

• 未授权操作: 测试未授权上传、删除文件

差分测试机制:

• 发送正常请求获取基准响应（状态码、长度、内容hash）
• 发送Payload后对比差异
• 显著差异才判定为漏洞，误报率降低80%+

🤖 AI基础设施安全检测 (v4.2+)

• AI推理服务 (5个): Ollama、vLLM、Xinference、Triton Inference Server、TGI
• AI工作流平台 (5个): n8n、Dify、Flowise、LangFlow、ComfyUI
• AI聊天界面 (4个): OpenWebUI、ChatGPT-Next-Web、LobeChat、Gradio
• AI开发工具 (7个): Jupyter Notebook、JupyterLab、Jupyter Server、MLflow、Kubeflow、Ray、TensorBoard
• AI数据平台 (3个): Feast、ClickHouse、Dask
• 国产AI平台 (6个): FastGPT、MaxKB、RAGFlow、QAnything、ChuanhuGPT、OneAPI
• AI开发框架 (5个): LangChain、LangServe、LangFuse、LiteLLM、FastChat
• 其他AI工具 (6个): Stable Diffusion WebUI、LLaMA-Factory、AnythingLLM、Marimo、KubePi、MCP
• CVE漏洞检测: 589+ AI组件CVE (基于AI-Infra-Guard v3.6.2)
• 提示词注入检测: 系统提示泄露、角色扮演绕过、分隔符绕过等
• 模型窃取检测: 未授权模型列表获取
• 版本检测: 自动提取组件版本并匹配CVE

☸️ Kubernetes安全检测 (v4.0+)

• K8s组件检测: API Server、Dashboard、etcd、kubelet、kube-proxy
• 未授权访问检测: 各组件未授权访问测试
• CVE漏洞扫描: CVE-2018-1002102、CVE-2019-11247、CVE-2020-8554等
• 配置泄露检测: 配置文件、密钥泄露

🐳 容器安全检测 (v4.0+)

• 容器逃逸风险: 特权容器、危险挂载检测
• Docker API: 未授权访问检测
• Containerd/CRI-O: 运行时安全检测
• 容器CVE库: CVE-2019-5736、CVE-2020-15257、CVE-2021-30465、CVE-2022-0847等

🔄 CI/CD配置安全检测 (v4.3+)

• CI/CD配置文件泄露:

• GitLab CI (.gitlab-ci.yml)

• Jenkins (Jenkinsfile, credentials.xml)

• GitHub Actions (.github/workflows/)

• Travis CI, CircleCI, Drone CI, Azure Pipelines

• Docker (Dockerfile, docker-compose.yml)

• Kubernetes (deployment.yaml, secret.yaml)

• Ansible, Terraform配置

• 敏感信息检测 (17种Token类型):

• GitLab Token / Runner Token

• Jenkins API Token

• Travis CI / CircleCI Token

• Docker Hub Token / Registry Auth

• npm / PyPI / RubyGems Token

• Slack / Discord Webhook

• 环境变量泄露检测:

• AWS Access Key / Secret Key

• Database URL with password

• Private Key in ENV

• 密码/密钥在环境变量中

✅ 漏洞利用验证 (v4.1+)

• 自动验证: 高危/严重漏洞自动验证
• SQL注入验证: 时间盲注、错误回显验证
• RCE验证: 延迟执行、输出回显验证
• LFI验证: 文件读取验证
• SSRF验证: 内部服务访问验证
• 云元数据验证: 云实例元数据访问验证
• AI/K8s/Docker验证: 未授权访问验证
• 利用证明: 生成PoC和影响评估

🔥 WAF指纹识别与智能Bypass (v5.4.1)

• WAF识别: 自动识别130+种WAF（融合wafw00f，多维度检测）

• 云服务: Cloudflare, AWS WAF, Azure Application Gateway, Google Cloud Armor, Akamai, Fastly等

• 国产WAF: 阿里云盾, 腾讯云WAF, 华为云WAF, 安全狗, 云锁, 360网站卫士, 长亭雷池, 知道创宇, 安恒等

• 商业WAF: F5 BIG-IP, Fortinet, Barracuda, Radware, Sophos, Wordfence, Wallarm等

• 开源方案: ModSecurity, NAXSI, Varnish, Coraza等

• WordPress插件: Wordfence, Sucuri, iThemes Security, All In One WP Security等

• 检测维度: 响应头 + 响应体 + Cookie 三维匹配，置信度评分排序

• Bypass Payload引擎 (v5.4.1):

• 11种专用绕过: 每种主流WAF有针对性payload（SQLi/XSS/LFI/RCE/SSRF各5-8个）

• 700+通用池: 59类绕过技术（空白替换/大小写/双写/编码/宽字节/时间盲注/报错注入/堆叠查询/Null截断/伪协议/反弹Shell/云元数据/OOB外带…）

• 无WAF也增强: 即使未检测到WAF，通用增强payload也会参与测试（提高检测率）

• 智能策略选择: 根据WAF类型自动选择HTTP头绕过（Cloudflare用Chrome UA、国产WAF用爬虫UA等）

• 报告集成: 命令行实时输出 + HTML报告独立”WAF识别”Tab + 漏洞标注绕过来源

🤖 智能防护规避

• 自适应速率限制: 根据服务器响应动态调整请求频率
• Header轮换: 4种真实浏览器指纹轮换（Chrome/Windows, Chrome/Mac, Firefox, Safari）
• 流量指纹伪装: 完整的Sec-Ch-Ua头、Accept-Language等
• CSRF Token自动提取: 支持6种常见Token格式
• Cookie持久化: 保存/加载会话状态，支持登录后扫描

🔬 JS代码分析

• 混淆还原: 支持eval(atob(…))、String.fromCharCode、\x十六进制、\uUnicode解码
• DOM XSS检测: 静态污点分析追踪source(location.hash)到sink(innerHTML)的数据流
• API参数提取: 从JS代码中提取fetch/ajax调用的参数名
• 参数Fuzzing: 对提取的参数进行自动模糊测试

📊 报告生成

• HTML报告: 美观的可视化报告，含统计图表
• JSON输出: 结构化数据便于集成
• 请求/响应包: 详细的HTTP请求和响应信息
• 漏洞验证状态: 标识已验证/未验证漏洞

🖥️ 浏览器渲染扫描 (v5.0+)

• 三种扫描模式: static（静态）、render（渲染）、hybrid（混合）
• Playwright集成: 使用真实浏览器渲染SPA/前端路由页面
• 运行时请求捕获: 捕获XHR/fetch请求，识别真实API接口
• 登录态支持: 加载Cookie到浏览器上下文，支持登录后扫描
• 会话贯通: 浏览器Cookie可同步回requests会话
• 状态化Spider (v1.1): BFS状态队列调度，URL+路由+交互链路+页面签名去重
• 前端路由追踪 (v1.1): 监听history.pushState/hashchange/popstate路由变化
• 运行时响应感知 (v1.1): 捕获XHR/fetch响应特征(status_code/content_type/response_hash)
• 存储状态同步 (v1.1): localStorage/sessionStorage/Token同步到后续请求
• 结果降噪 (v1.1): 过滤第三方请求、埋点分析、CDN静态资源

🖱️ 轻量交互引擎 (v5.0+)

• 可控点击: 预算控制下的高价值元素点击（默认最多10次/页3次）
• 智能识别: 自动识别导航菜单、Tab切换、折叠面板、下拉按钮等8类元素
• 风险评分: 避开危险按钮（删除/支付/注销/重置/卸载等15类关键词）
• 高价值优先: 优先点击login/admin/dashboard/upload/api/swagger/config/manage/console
• 交互发现: 点击后提取新链接和运行时请求，自动触发隐藏内容

工具交流群

工具地址：https://github.com/MY0723/FLUX-Webscan

FLUX v5.4.2 使用手册：

https://github.com/MY0723/FLUX-Webscan/blob/main/FLUX_MANUAL.md

问题清单收集：【腾讯文档】FLUX问题清单

https://docs.qq.com/sheet/DZmFZZ0JhaVRXSkFi

有问题或更新会优先在群里说，需要的可以加群

如果群满加我拉

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 MY0723 MY0723《工具分享 | FLUX-Web安全扫描工具 v5.4.2更新》