ZankDl/BLFScanner
GitHub: ZankDl/BLFScanner
专为检测传统自动化扫描器遗漏的业务逻辑漏洞而设计的扫描工具,覆盖价格篡改、工作流绕过、IDOR、竞态条件等多种检测场景。
Stars: 0 | Forks: 0
**BLFinder v2.0 — 业务逻辑漏洞扫描器** (前身为 BLFScanner)
一款专门用于检测传统自动化扫描器(Burp、ZAP、Nuclei 等)遗漏的业务逻辑漏洞的专用工具。
### 主要检测项
- **价格/数量篡改**(包括负数、零值、小数)
- **工作流/步骤绕过**(跳过结账阶段)
- **权限提升**(参数篡改、垂直/水平越权、JWT 声明)
- **IDOR / BOLA**(包括使用多个 token 进行跨用户确认)
- **批量赋值**与对象属性枚举
- **竞态条件**(并发请求测试)
- **优惠券/折扣叠加与重放**
- **基于时间的逻辑漏洞**(日期篡改)
- **状态机滥用**
- **整数溢出、类型混淆、隐藏参数**
- **GraphQL 特有问题**、HTTP 方法覆盖等
专为 **Bug Bounty 猎人**和 **Termux/Android** 使用而优化。
## 功能特性
- 异步 + 自适应速率限制(智能处理 429 响应)
- 多 Token 支持(User1 + User2 用于 IDOR 确认)
- 智能 Endpoint 发现(可选)
- 深度嵌套 JSON 模糊测试/变异
- 丰富的报告:**HTML**(精美的交互式)、**JSON**、**Markdown**、终端摘要
- User-Agent 轮换 + 代理支持(Burp/HTTP)
- 广泛的规避与确认逻辑
## 安装说明(推荐使用 Termux)
完整详情请参见 `blfinder/TERMUX_SETUP.md`。
```
pkg update && pkg upgrade -y
pkg install python git -y
pip install aiohttp --break-system-packages
# Clone repo
git clone https://github.com/Steven5233/BLFScanner.git
cd BLFScanner/blfinder
```
## 快速使用
```
# Basic scan
python blfinder.py -t https://api.target.com
# With authentication (recommended)
python blfinder.py -t https://api.target.com -T "eyJhbGciOi..."
# Cross-user IDOR testing (highly recommended)
python blfinder.py \
-t https://api.target.com \
-T "user1_token" \
-T2 "user2_token" \
-e endpoints.json \
--html --json --md \
-o results \
-v
```
**其他实用标志:**
- `--proxy http://127.0.0.1:8080` — 通过 Burp 路由
- `--no-ssl-verify`
- `-r 0.5` — 调整速率限制
- `--no-discover` — 禁用自动发现
- `-v` — 详细输出模式
## Endpoints 文件 (`endpoints.json`)
提供一系列用于深度测试的常见业务逻辑 Endpoint。示例已包含在:`endpoints.example.json`。
```
[
{
"url": "/api/v1/checkout",
"method": "POST",
"body": {
"product_id": 123,
"quantity": 1,
"price": 99.99,
"coupon_code": "SAVE10"
}
}
]
```
## 项目结构
```
blfinder/
├── blfinder.py # CLI entry point
├── core/
│ ├── scanner.py # Core scanning engine + all detection modules
│ └── reporter.py # HTML/JSON/MD report generators
├── TERMUX_SETUP.md
├── endpoints.example.json
└── ...
```
**主扫描器** (`core/scanner.py`) 实现了数十项针对性的业务逻辑检查,包含基线响应、变异逻辑、成功/失败启发式算法以及去重机制。
**报告器** 可生成专业、带颜色标记的交互式报告。
## 重要提示 / 负责任地使用
- 本工具执行主动测试和参数篡改。请**仅在获得授权的目标**上使用。
- 请遵守速率限制和服务条款。
- 在类似生产环境的目标上,请从低激进级别(`-r 1.0` 或更高)开始测试。
- 许多发现结果需要人工验证。
## 路线图 / 未来计划
- 更多 GraphQL 模块
- 登录/身份验证绕过检查
- 更好的 JS Endpoint 提取
- 与其他工具的集成
## 贡献
欢迎提交 Pull Request——尤其是新的检测模块或对规避/自适应行为的改进。
**作者:** Séç gúy
标签:aiohttp, API安全测试, BOLA, Bug Bounty, CISA项目, GraphQL安全, HTML报告, IDOR, JSON报告, JWT越权, Markdown报告, Python, Termux, Web安全, 业务逻辑漏洞, 代理支持, 价格篡改, 优惠券堆叠, 加密, 参数篡改, 可自定义解析器, 告警, 安卓安全, 工作流绕过, 并发竞争条件, 异步编程, 批量赋值, 数量操纵, 整数溢出, 无后门, 时间逻辑漏洞, 漏洞扫描器, 状态机滥用, 类型混淆, 蓝队分析, 负数漏洞, 越权漏洞, 逆向工具