一款强大的 Web 安全测试套件,集成多种安全测试功能,支持自动化扫描和手动测试。
- Fastjson 漏洞扫描(支持 DNS、JNDI、回显等多种检测方式)
- SQL 注入检测(支持 GET、POST、Cookie、多层级 JSON)
- Log4j 漏洞检测
- 未授权访问检测
- URI 特殊字符绕过
- Header 字段绕过
- Accept 头绕过
- 子域名收集
- 多层级路由扫描
- 一键生成 Nuclei 模板
- 代理池功能
- 复杂数据提交(解决序列化数据编码问题)
- 工具快速调用
mvn clean package
⚠️ 请注意:编译后的 jar 包位于 target/ 目录下
所有功能均可通过右键菜单快速调用:
前置配置:
- 在配置面板设置 DNS 和 IP
- DNS 扫描:配置类型为 dns,使用 FUZZ 占位符
- JNDI 扫描:配置类型为 jndi,支持 DNS/IP 选择
- 回显扫描:支持 Tomcat、Spring 等多种环境
- URI 绕过
- Header 绕过
- Accept 绕过
支持以下格式的表达式:
code=200
body="hello"
title="druid"
headers="Content-Type: application/json"
# 复杂条件
code=200 && body="hello"
code!=200 && (body="hello" || title="druid")
我们非常欢迎各种形式的贡献:
- 🎨 提交新功能建议
- 🐛 报告 Bug
- 📝 改进文档
- 🔧 提交代码优化
如果您有好的想法,请提交 Issue,我们会认真考虑并尽力实现!
加入微信讨论群:
- 功能优化和 Bug 修复
- 新功能开发
- 性能优化
- 文档完善
本工具仅用于授权的安全测试,请勿用于非法用途。使用本工具造成的任何后果由使用者承担。
如果觉得这个项目对您有帮助,请给个 Star ⭐️ 支持一下!