文章总结： dddd改版是一款集成资产发现、端口扫描、指纹识别和漏洞检测的安全扫描工具，通过拆分指纹标签自动匹配漏洞POC提高检测效率，支持3万多个指纹并兼容外部指纹库。工具采用外部nuclei引擎确保漏洞模板及时更新，生成HTML报告展示漏洞详情，适用于企业授权测试和合规安全研究场景。 综合评分： 76 文章分类： 安全工具,漏洞分析,WEB安全,渗透测试,安全建设

dddd改版：更聪明的资产发现&漏洞扫描工具

原创

油漆工 油漆工

C4安全

2026年5月12日 10:03 江苏

在小说阅读器读本章

去阅读

前言

在企业安全建设越来越强调“持续发现、持续验证、持续修复”的今天，一款真正好用的安全扫描工具，往往不只是“能扫”，更要“扫得准、扩得开、用得顺”，dddd 正是这样一款面向安全研究与授权检测场景的工具

它把资产发现、端口扫描、指纹识别、漏洞检测、子域名探测、搜索引擎资产拉取等能力整合到一起，尽量减少手工切换工具的成本

改版

dddd原版 的一个核心特点是需要将指纹和漏洞POC绑定，这一步是非常繁琐的

在改版中我对指纹直接使用解析这一步拆分去匹配漏洞的POC tag

比如说，指纹是

springBlade,saber登录系统,Nginx

它就会拆分为：springblade、saber、登录系统、saber登录系统、nginx这几个指纹tag，去所有的漏洞poc中匹配选中，然后再用选中的POC检测漏洞，避免全局POC扫描，提高效率

同时我也兼容了优秀项目中的指纹：https://github.com/yyhuni/xingfinger/tree/main/fingerprints

目前支持检测的指纹数量已经达到了3万多个

无论你输入的是单个 IP、网段、IP 段、域名、URL，还是包含多目标的文本文件，它都能自动识别并进入对应流程

漏洞检测方面，我将内置的nuclei引擎分离了出来，现在调用的是外部的nuclei可执行文件和nuclei模板

避免nuclei引擎和nuclei漏洞模板更新导致最新的漏洞检测不到，如需更新nuclei文件直接替换即可

如需更新漏洞POC模板，直接放到config文件夹下面的poc文件夹里即可

dddd改版在识别完指纹之后，就会调用关联的POC去检测漏洞

漏洞结果会输出在html报告当中，而之前的指纹检测结果则会放在log.txt当中（追加内容，不会覆盖）

可以来看下生成的报告，这次检测出的是jeecg-boot的SQL注入漏洞，报告中写明了请求和返回包

另外还检测出了phpMyAdmin的安装目录文件，详细信息也类似

当然，任何安全工具都应该建立在合法授权的前提下使用

dddd改版更适合用于企业自有资产、授权测试环境和合规安全研究场景，帮助团队更快发现问题、验证风险、推动修复

改版文件我已经分享在了内部知识大陆中，已加入的师傅们可以使用并提出优化的意见，目前工具还在不断的优化中~

​

内部CTF课程上线，总课程30+小时，优惠折扣中！

帮会简介

《安全渗透感知》是FreeBuf知识大陆的重量级帮会，帮会致力于漏洞POC/EXP、红队攻防实战，是系统化从基础入门到实战漏洞挖掘的教程社区，包含团队自整的挖掘注意点和案例，还包含分享的渗透经验、SRC漏洞案例、代码审计、挖洞思路等高价值资源。

内容框架（持续新增中）

目前已有「630+」小伙伴加入了帮会

加入方式目前帮会成员630+人，永久会员优惠后只需69.9元。

随着人数的增加及资源的积累，之后永久会员将涨价至99元。

有意向的师傅们可以扫码加入我们，共同进步。

如何加入帮会？→ 安卓/苹果用户可扫码使用优惠券↓↓

→ PC端用户可复制此链接到浏览器↓↓

https://wiki.freebuf.com/societyDetail?society_id=184

已加入帮会的小伙伴

可以加帮主进帮会内部交流群

请备注：帮会

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：C4安全 油漆工 油漆工《dddd改版：更聪明的资产发现&漏洞扫描工具》