官方網站
Git 儲存庫範本即代碼:將全球黑客的智慧轉化為您的防禦力
- 範本化掃描 (Template-driven): 核心強大但簡單,所有掃描邏輯均寫在 YAML 檔案中。您可以輕鬆撰寫、自定義或分享針對特定漏洞的掃描腳本。
- 極致的高併發效能: 採用 Go 語言開發,專為大規模目標掃描設計。只需幾秒鐘,即可對數千個主體進行特定漏洞的精準探測。
- 強大的社群驅動: 官方維護的
nuclei-templates儲存庫包含數千個由全球資安研究員貢獻的範本,涵蓋從 Web 弱點、配置錯誤到最新的 0-day 漏洞。
主要功能、特點
介紹: Nuclei 是一款用於傳送基於範本的請求到目標的工具,其目標是降低漏報率並提高大規模掃描的可重複性。它不只是個 Web 掃描器,還支援 TCP、DNS、SSH、HTTP、SSL 等多種協定。
特色服務:
- 精準的匹配邏輯: 支援使用 Regex(正規表達式)、KPE(Key-Value 匹配)等多種方式驗證漏洞是否存在,有效減少誤報。
- 工作流整合 (Workflows): 支援設定條件式掃描,例如:「如果發現是 WordPress 站點,則自動啟動所有相關的插件漏洞掃描」。
- CI/CD 自動化整合: 能輕鬆整合進 GitHub Actions 或 GitLab CI,在每一次代碼更新時自動進行安全回歸測試。
- 互動式報表: 支援匯出為 JSON、Markdown 或直接整合至 DefectDojo 等漏洞管理平台。
常用指令
更新範本庫並掃描目標網站:
# 更新所有漏洞範本
nuclei -update-templates
# 針對目標進行特定等級 (Critical, High) 的漏洞掃描
nuclei -u [https://example.com](https://example.com) -severity critical,high
為什麼推薦 Nuclei?
在 OSS軟體清單_2025 中,雖然有 OpenVAS 這類全面的系統,但其運作較為沉重且更新較慢。Nuclei 的優勢在於其「輕量」與「即時性」。每當互聯網爆發新的重大漏洞(如 Log4j 或新的 Web 框架漏洞),社群通常會在幾小時內釋出 Nuclei 範本。對於企業資安團隊或 Bug Bounty 獵人來說,Nuclei 是 網路與資安 類別中反應最快、最精準的偵測工具。
Nuclei 的靈活性讓它成為現代資安自動化(SecDevOps)的核心。您是否需要我為您提供一個關於如何撰寫簡單 Nuclei YAML 範本 以偵測特定內部服務配置錯誤的範例?