Nuclei漏洞扫描器从入门到精通：安装、配置、实战与自动化集成指南

1. 项目概述：为什么你需要掌握Nuclei？

如果你是一名安全工程师、渗透测试人员，或者只是对网络安全感兴趣，想自动化地发现一些常见漏洞，那你大概率听说过或者尝试过Nuclei。我第一次接触它时，感觉就像发现了一把瑞士军刀——它不像那些笨重、昂贵、闭源的商业扫描器，Nuclei是开源的、基于社区驱动的，并且快得惊人。它的核心思想很简单：用YAML文件定义漏洞检测逻辑，然后通过一个高性能的引擎去执行这些“模板”，对目标进行扫描。这意味着，只要社区发现了一个新的漏洞（比如某个流行CMS的0day），几个小时内，对应的检测模板就可能被创建并发布，你就能立刻用它来检查自己的资产是否受影响。

这彻底改变了漏洞响应的速度。过去，等商业扫描器更新特征库可能要几天甚至几周，而Nuclei让“武器化”一个漏洞检测流程变得像写一个配置文件一样简单。现在，它已经成为了红队、蓝队和漏洞赏金猎人工具箱里的标配。但很多新手在初次使用时，往往会卡在安装、配置或者理解其工作流上。这篇文章，我就结合自己多年的使用经验，从零开始，带你走一遍Nuclei的完整使用流程，从如何把它装到你的电脑上，到如何高效地进行一次实战扫描，并解读那些关键但容易被忽略的参数。

2. 核心安装与环境配置

安装Nuclei本身并不复杂，但“正确”的安装和初始配置，能为你后续的顺畅使用打下坚实基础。官方推荐了几种方式，我会逐一拆解，并告诉你每种方式的适用场景和坑在哪里。

2.1 主流安装方式详解与避坑

1. 使用Go安装（推荐给开发者/希望使用最新版用户）这是最灵活、能第一时间获取最新特性的方式。前提是你的系统已经安装了Go语言环境（版本需 >= 1.24.2）。

打开终端，执行以下命令：

go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

安装完成后，二进制文件通常位于$GOPATH/bin目录下（如果你设置了GOPATH），或者$HOME/go/bin。你需要确保这个目录在你的系统PATH环境变量中。

注意：使用go install安装的是当前Go仓库main分支的最新代码，这可能是未发布的开发版。虽然能尝鲜，但也可能遇到不稳定的情况。对于追求生产环境稳定的用户，我更建议使用下面预编译二进制包的方式。

2. 下载预编译二进制文件（最通用、最稳定的方式）这是我最推荐给大多数用户的方式，尤其是刚入门的朋友。ProjectDiscovery为每个正式发布版本都提供了Windows、Linux、macOS的预编译包。

访问Nuclei的GitHub Release页面：https://github.com/projectdiscovery/nuclei/releases找到最新版本（通常标记为Latest），根据你的操作系统下载对应的压缩包（如nuclei_3.0.0_linux_amd64.tar.gz）。 解压后，你会得到一个名为nuclei（Windows下是nuclei.exe）的可执行文件。 将其移动到系统路径下，例如在Linux/macOS上：

sudo mv nuclei /usr/local/bin/

在Windows上，你可以将其放入C:\Windows\System32或任何已添加到PATH的目录。 完成后，在终端输入nuclei -version验证是否安装成功。

3. 使用包管理器安装（适合Linux/macOS用户）对于macOS用户，如果你安装了Homebrew，安装过程会非常简单：

brew install nuclei

对于某些Linux发行版（如Arch Linux），也可以通过社区维护的AUR仓库安装。这种方式的好处是便于后续更新管理。

4. Docker方式运行（环境隔离，避免依赖冲突）如果你不想在本地安装任何东西，或者需要在不同项目中使用特定版本的Nuclei，Docker是最佳选择。

docker run -it projectdiscovery/nuclei:latest -version

进行实际扫描时，你需要将本地目标列表或模板目录挂载到容器内：

docker run -v $(pwd):/data -it projectdiscovery/nuclei:latest -list /data/targets.txt -o /data/results.json

这里，-v $(pwd):/data将当前目录挂载到容器的/data路径，这样容器内的Nuclei就能访问你本地的targets.txt文件，并将结果输出到本地的results.json。

实操心得：对于日常使用，我强烈建议方式2（预编译二进制）。它独立于Go环境，版本明确，且更新方便（直接下载新版本替换即可）。Docker方式则在团队协作或CI/CD流水线中非常有用，能确保所有人使用完全一致的环境。

2.2 模板库的安装与更新：扫描能力的源泉

安装好Nuclei引擎只是第一步，没有模板（Template），它就只是一个空壳。模板才是定义“检测什么”的关键。Nuclei模板库是一个独立的GitHub仓库。

首次运行任何扫描命令时（例如nuclei -u http://test.com），Nuclei会自动检查并提示你下载模板库。你可以选择Y让它自动完成。但我更推荐手动进行初始化，以便更好地控制模板的存放位置。

手动安装/更新模板库：

# 安装/更新到最新模板 nuclei -ut

这个命令会从官方仓库拉取最新的模板到默认目录（通常是~/.local/nuclei-templates或$HOME/nuclei-templates）。

指定自定义模板目录：如果你有自定义模板，或者想将模板放在特定位置，可以使用-ud参数：

nuclei -ud /path/to/your/template/directory -ut

查看已安装模板信息：

# 查看模板版本 nuclei -tv # 列出所有模板（配合过滤参数使用更佳） nuclei -tl

注意事项：模板库更新非常频繁，几乎每天都有新模板加入。对于重要的扫描任务，建议在开始前先执行nuclei -ut更新模板。但也要注意，极少数情况下，新模板可能存在语法错误导致Nuclei运行报错。如果遇到问题，可以尝试指定使用之前版本的模板，或者暂时排除有问题的模板类别。

2.3 关键配置与环境变量

Nuclei的行为可以通过配置文件~/.config/nuclei/config.yaml进行全局控制。首次运行某些命令可能会自动生成它。这个文件允许你设置默认值，避免每次都在命令行输入冗长的参数。

一个典型的配置示例如下：

# ~/.config/nuclei/config.yaml ratelimit: 150 timeout: 10 retries: 1 proxy-url: http://127.0.0.1:8080 # 设置Burp Suite等代理，方便调试 update-templates: true # 是否自动检查模板更新

你还可以通过环境变量来设置一些敏感或通用的配置，例如设置HTTP代理：

export HTTP_PROXY=http://proxy:8080 export HTTPS_PROXY=http://proxy:8080

或者在命令中临时指定代理：

nuclei -u http://target.com -proxy http://127.0.0.1:8080

配置代理对于调试模板、查看具体请求和响应至关重要，尤其是在编写自定义模板时。

3. 初阶到进阶：命令行参数深度解析

Nuclei的功能强大，很大程度上体现在其丰富的命令行参数上。直接运行nuclei -h会输出非常长的帮助信息。这里我挑出最核心、最常用的几组参数，结合场景进行解读。

3.1 目标指定：-u, -l, 与输入模式

这是扫描的起点，告诉Nuclei“扫哪里”。

• -u, -target: 指定单个目标。可以是URL、IP或主机名。

  nuclei -u https://example.com nuclei -u 192.168.1.1

• -l, -list: 指定一个文件，文件内每行一个目标。这是批量扫描的标准方式。

  nuclei -l targets.txt

  targets.txt文件内容示例：

  https://example.com http://test.example.com:8080 192.168.1.100 app.internal.corp

• -input-mode (-im): 定义输入文件的格式。默认是list（每行一个目标）。但它也支持从其他工具的输出中解析目标，例如：
  • burp: 从Burp Suite的XML导出文件中提取URL。
  • jsonl: 从JSON行格式的文件中提取（常用于其他扫描器的输出）。
  • openapi/swagger: 直接从OpenAPI/Swagger规范文件中提取API端点作为目标。

  nuclei -l burp_export.xml -im burp

实操心得：在漏洞赏金或内部资产梳理时，我通常会先用子域名枚举、端口扫描工具（如Subfinder, Naabu, Shodan）生成一个庞大的目标列表。然后使用-l参数喂给Nuclei。对于从不同来源汇总的目标列表，务必先进行去重和格式化，确保Nuclei能正确解析。

3.2 模板筛选：精准打击的关键

Nuclei模板库有上万模板，全量扫描既慢又可能产生大量噪音。精准筛选模板是高效扫描的核心。

• -t, -templates: 指定要运行的模板或模板目录。这是最常用的筛选方式。

  nuclei -u http://target -t exposures/ # 运行`exposures`目录下的所有模板 nuclei -u http://target -t cves/2024/ # 运行2024年CVE目录下的模板 nuclei -u http://target -t /path/to/my-custom-template.yaml # 运行单个自定义模板

• -tags: 按标签筛选。模板作者会为模板打上标签，如xss,sqli,rce,wordpress,java。

  nuclei -u http://target -tags xss,wordpress

• -id: 按模板ID精确运行。每个模板都有一个唯一ID。

  nuclei -u http://target -id "CVE-2021-44228"

• -severity (-s): 按严重等级筛选。等级分为info,low,medium,high,critical。

  nuclei -l targets.txt -s high,critical # 只运行高危及严重模板

• -type (-pt): 按协议类型筛选。例如http,dns,tcp,ssl,headless（无头浏览器）。

  nuclei -target 192.168.1.0/24 -pt tcp,ssl # 对IP段进行TCP和SSL扫描

• -exclude-tags (-etags),-exclude-id (-eid),-exclude-templates (-et): 排除特定的模板、标签或目录。这在你想运行大部分模板，但排除某些已知会误报或与目标无关的模板时非常有用。

  nuclei -l all_targets.txt -etags dos,ssl # 排除拒绝服务和SSL检查类模板

组合使用示例：假设我要对一个Java Spring Boot应用进行快速安全评估，只关心高危及严重的RCE、信息泄露漏洞，并排除可能造成服务影响的测试。

nuclei -u http://springboot-app:8080 -tags spring -s high,critical -etags dos

3.3 输出与控制：保存结果与调节扫描行为

• -o, -output: 指定结果输出文件。支持格式由文件扩展名决定，如.txt,.json,.jsonl。

  nuclei -l targets.txt -o results.json

• -jsonl (-j)/-json-export (-je): 以JSON Lines格式输出到终端或文件。这是最推荐的结果格式，便于后续用jq等工具处理。

  nuclei -u http://target -j # 输出JSONL到终端 nuclei -u http://target -je results.jsonl # 输出到JSONL文件

• -silent: 只显示找到的漏洞（匹配项），不显示横幅、进度条等其他信息。适合在脚本中调用。
• -rate-limit (-rl):最重要的参数之一。限制每秒发送的请求数，默认150。对于扫描生产环境或脆弱目标，务必调低（如-rl 30）以避免对目标造成压力或触发WAF。
• -concurrency (-c)/-bulk-size (-bs): 控制并行度。-c控制并行执行的模板数（默认25），-bs控制每个模板并行扫描的主机数（默认25）。根据你的网络和机器性能调整。数值太高可能导致漏报或本地资源耗尽。
• -timeout: 每个请求的超时时间（秒），默认10。对于网络延迟高或响应慢的目标，可以适当增加。
• -retries: 请求失败后的重试次数，默认1。
• -project: 启用项目模式。Nuclei会创建一个临时目录来存储扫描状态，避免对同一目标重复发送相同的请求（在不同模板间）。在扫描大量目标时，强烈建议启用此选项，能极大提升速度。

  nuclei -l huge_target_list.txt -project

3.4 高级功能参数

• -headless: 启用无头浏览器支持。用于检测需要JavaScript渲染才能触发的漏洞（如某些复杂的DOM型XSS）。需要系统安装Chrome/Chromium。
• -interactsh-server (-iserver): 指定Interactsh服务器。Interactsh是ProjectDiscovery提供的用于检测“盲”漏洞（如盲SSRF、盲XSS、盲命令注入）的OAST（外部攻击面测试）工具。使用此参数，Nuclei会自动在请求中插入Interactsh提供的唯一域名，并监听是否有回调，从而确认漏洞存在。

  nuclei -u http://target -tags ssrf,oast -iserver https://your-interactsh-server.com

• -debug/-debug-req (-dreq)/-debug-resp (-dresp): 调试模式。会打印所有发送的请求和接收的响应，对于编写和调试自定义模板至关重要。
• -stats/-stats-interval (-si): 显示实时统计信息，如已发送请求数、错误数、匹配数、扫描进度等。-si可设定刷新间隔（秒）。

4. 实战扫描流程与策略

了解了核心参数，我们来组合它们，形成不同场景下的实战扫描策略。记住，没有“一招鲜”的命令，策略需要根据目标、环境和目的调整。

4.1 快速侦察与暴露面发现

目标：快速了解目标对外暴露了哪些常见漏洞、配置错误或敏感信息。策略：使用中高危模板，进行较快速度的扫描。命令示例：

nuclei -l all_subdomains.txt \ -s medium,high,critical \ # 只关注中高危以上 -rl 50 \ # 限制速率，避免过载 -bs 20 -c 20 \ # 中等并行度 -project \ # 启用项目模式去重 -o initial_scan.jsonl \ -stats -si 10

解析：这个命令适合在获得一批子域名后首先运行。它过滤了低危和信息类模板，减少了噪音。-project确保了即使多个模板检测同一路径，也只发一次请求，效率很高。-stats让你能实时观察进度。

4.2 深度漏洞评估

目标：对单一或少数关键目标进行深入、全面的测试。策略：使用所有模板（或排除极少数不相关的），启用高级检测能力（如无头浏览器、OAST），降低速率，保存详细日志。命令示例：

nuclei -u https://critical-app.com \ -etags dos,ssl \ # 排除可能造成影响的测试 -headless \ # 启用JS渲染检测 -iserver https://interact.sh \ # 启用OAST检测盲漏洞 -rl 20 \ # 低速扫描，避免触发防护 -timeout 15 \ # 延长超时 -retries 2 \ # 增加重试 -store-resp \ # 保存所有请求/响应到目录，供后续分析 -debug \ # 如需，可开启调试查看流量 -o deep_scan_critical_app.jsonl

解析：这是“重炮”模式。-headless和-iserver显著增强了检测能力，能发现传统请求检测不到的漏洞。-store-resp保存的流量对于手动验证漏洞、编写报告证据非常有用。低速和重试设置是为了在深度扫描时保持稳定。

4.3 针对特定技术栈的扫描

目标：目标系统技术栈明确（如WordPress, Jenkins, Spring Boot），只想运行相关的漏洞检测。策略：利用-tags和-t目录进行高度精准的筛选。命令示例（针对WordPress站点）：

nuclei -u https://wordpress-site.com \ -tags wordpress \ # 运行所有wordpress标签的模板 -t exposures/configs/ \ # 加上通用配置泄露检查 -t exposures/exposed-panels/ \ # 加上暴露面板检查 -o wp_scan.jsonl

你也可以结合使用-tags和-exclude-tags进行更精细的控制。

4.4 与工作流（Workflow）配合

Nuclei Workflow（.yaml）文件允许你将多个模板和检查步骤按顺序组织起来，实现更复杂的检测逻辑。例如，先检测某个CMS，如果存在，再运行针对该CMS的特定漏洞检测。命令示例：

nuclei -u http://target -w /path/to/cms-detection-workflow.yaml

工作流文件定义了模板执行的顺序和条件，这属于进阶用法。社区也提供了一些预置的工作流。

5. 结果分析与处理

扫描完成后的结果文件（尤其是JSONL格式）包含了丰富的信息。直接看终端输出可能不够，我们需要进一步分析。

5.1 使用jq进行结果过滤与统计

jq是一个强大的命令行JSON处理器，是处理Nuclei JSONL输出的绝配。

基础示例：

# 1. 查看所有发现的漏洞（模板名、主机、严重等级） cat results.jsonl | jq -r '[.template, .host, .info.severity] | @tsv' # 2. 统计不同严重等级的漏洞数量 cat results.jsonl | jq -r '.info.severity' | sort | uniq -c # 3. 提取所有高危及严重漏洞的详细信息 cat results.jsonl | jq -r 'select(.info.severity == "high" or .info.severity == "critical")' # 4. 提取所有涉及特定主机（如192.168.1.1）的结果 cat results.jsonl | jq -r 'select(.host | contains("192.168.1.1"))' # 5. 提取所有匹配的请求和响应（用于手动验证） cat results.jsonl | jq -r '.request | @base64d' # 解码请求（如果存储了） cat results.jsonl | jq -r '.response | @base64d' # 解码响应（如果存储了）

5.2 生成可视化报告

虽然Nuclei本身支持-markdown-export导出Markdown报告，但格式较为基础。社区有更多工具可以将JSONL结果转化为更美观的报告。

• Nuclei-Templates仓库中可能包含社区贡献的报告脚本。
• 你可以自己编写Python脚本，使用Pandas和Jinja2库，将结果生成HTML或PDF报告。
• 一些第三方平台（如DefectDojo, ThreadFix）支持直接导入Nuclei的JSON结果。

一个简单的Python脚本示例，用于生成HTML摘要：

import json from collections import Counter findings = [] with open('results.jsonl', 'r') as f: for line in f: findings.append(json.loads(line)) severity_count = Counter([f['info']['severity'] for f in findings]) print(f"扫描完成，共发现 {len(findings)} 个问题。") print("严重等级分布：", dict(severity_count)) # 这里可以继续生成HTML表格...

5.3 结果验证与误报处理

Nuclei的“零误报”理念依赖于模板的质量，但误报仍可能发生，尤其是基于正则表达式匹配的模板。对于自动化工具报出的漏洞，必须进行手动验证。

1. 查看请求/响应：如果使用了-store-resp，直接查看保存的原始流量。否则，可以尝试用-debug模式重新运行单个模板，或使用Burp Suite等工具重放Nuclei发送的请求。
2. 理解模板逻辑：找到对应的模板文件（通常在~/.local/nuclei-templates/下），查看其matchers部分，理解它是如何判断漏洞存在的。有时匹配条件可能过于宽松。
3. 上下文判断：工具可能检测到一个版本号，并匹配了已知CVE。你需要确认该版本号是否真实，以及该服务是否确实存在受攻击的路径或条件。

对于确认的误报，你可以：

• 向Nuclei-Templates仓库提交Issue，帮助改进模板。
• 在后续扫描中使用-exclude-id参数排除该特定模板。

6. 编写自定义模板：释放Nuclei的真正潜力

当社区模板无法满足你的需求，或者你想为内部应用编写特定的检测规则时，就需要自己编写模板。这是Nuclei最强大的地方。

6.1 模板结构剖析

一个最简单的HTTP模板如下所示：

id: example-test info: name: Example Vulnerability Test author: yourname severity: medium description: Detects a specific issue in Example Product. reference: - https://example.com/security-advisory http: - method: GET path: - "{{BaseURL}}/vulnerable-endpoint" matchers: - type: word words: - "root:" - "password:" condition: or part: body

• id: 模板唯一标识，必填。
• info: 模板元信息，包括名称、作者、严重等级、描述、参考链接等。
• http: 定义HTTP请求。可以包含多个请求步骤（用于多步攻击检测）。
  • method: 请求方法（GET, POST等）。
  • path: 请求路径。{{BaseURL}}是预置变量，代表传入的目标。
  • matchers: 匹配器，定义如何从响应中判断漏洞存在。
    • type: word: 匹配关键词。
    • words: 要匹配的关键词列表。
    • condition: or: 匹配逻辑（任意一个关键词出现即匹配）。
    • part: body: 在响应正文中匹配。

6.2 核心组件详解

1. 变量（Variables）: 除了{{BaseURL}}，还有{{Hostname}},{{Port}},{{Scheme}}等。你还可以在请求中自定义变量，并在后续步骤中引用。

2. 请求（Requests）: 支持GET, POST, PUT, DELETE等方法。可以设置Headers、Cookie、Body。

raw: - | GET /api/user?id={{id}} HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/5.0

raw模式允许你编写原始的HTTP请求包，灵活性最高。

3. 匹配器（Matchers）: 这是判断漏洞是否存在的核心。

• type: 可以是word（关键词）,regex（正则表达式）,status（状态码）,size（响应大小）等。
• condition: 可以是and（所有条件满足）,or（任一条件满足）。
• part: 指定匹配响应哪部分，如body,header,all。
• matchers-condition: 在多个matchers块之间定义逻辑关系。

4. 提取器（Extractors）: 用于从响应中提取数据（如令牌、ID、版本号），并存储到变量中供后续步骤使用。

extractors: - type: regex name: version part: body regex: - 'Version: (v?\\d+\\.\\d+\\.\\d+)' group: 1

5. 动态载荷（Payloads）: 用于模糊测试（Fuzzing）。可以定义一个载荷字典，Nuclei会自动迭代替换到请求中。

payloads: username: - admin - test - guest password: - admin - 123456 - password

然后在请求路径或Body中使用{{username}},{{password}}。

6.3 编写一个实战模板：检测简单的信息泄露

假设我们要检测一个假设的API端点/api/debug，当访问它时，如果返回内容包含DEBUG_MODE: ON和INTERNAL_IP，则认为存在信息泄露。

id: internal-debug-endpoint-exposure info: name: Internal Debug Endpoint Information Exposure author: yourname severity: medium description: Detects exposure of internal debug endpoint revealing sensitive information. reference: - https://internal-wiki/security-guidelines http: - method: GET path: - "{{BaseURL}}/api/debug" matchers: - type: word words: - "DEBUG_MODE: ON" part: body - type: regex regex: - 'INTERNAL_IP: \\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}' part: body condition: and # 必须同时满足两个匹配器

保存为debug-exposure.yaml，然后运行：

nuclei -u http://target.com -t ./debug-exposure.yaml

6.4 模板调试与验证

编写模板后，务必进行验证和调试。

1. 语法验证：

   nuclei -validate -t ./your-template.yaml

2. 调试运行：使用-debug或-debug-req查看实际发送的请求和接收的响应，确保路径、载荷替换正确。

   nuclei -u http://test.local -t ./your-template.yaml -debug

3. 使用代理：配合Burp Suite，将Nuclei的流量导入Burp，可以直观地查看和修改请求，是调试复杂模板的利器。

   nuclei -u http://test.local -t ./your-template.yaml -proxy http://127.0.0.1:8080

避坑指南：编写模板时最常见的错误是YAML格式问题（缩进、冒号后的空格）和变量引用错误。建议使用支持YAML语法高亮的编辑器（如VSCode）。另外，正则表达式在YAML中需要注意转义，使用单引号包裹通常更安全。在发布模板到社区前，务必在多个不同环境下充分测试，避免误报。

7. 集成与自动化：将Nuclei融入工作流

Nuclei不是孤立的工具，它可以很好地融入现有的安全流程。

7.1 与资产发现工具链集成

典型的自动化侦察流程可能是：

1. 使用Subfinder, Amass, Assetfinder等进行子域名枚举。
2. 使用Naabu, Masscan, Nmap进行端口扫描。
3. 使用Httpx, Katana进行HTTP探测，获取存活URL和标题。
4. 将最终整理好的URL列表交给Nuclei进行漏洞扫描。

一个简单的Bash管道示例：

subfinder -d example.com -silent | httpx -silent | nuclei -t exposures/ -o nuclei_initial_scan.jsonl -silent -stats

7.2 集成到CI/CD流水线

在DevSecOps中，可以在代码构建或部署阶段对测试环境或预览URL进行安全扫描。

GitHub Actions 示例：

name: Nuclei Security Scan on: [push, pull_request] jobs: nuclei-scan: runs-on: ubuntu-latest steps: - name: Checkout code uses: actions/checkout@v3 - name: Nuclei Scan uses: projectdiscovery/nuclei-action@main with: target: https://staging.example.com templates: exposures/configs,exposures/files severity: high,critical output: nuclei-report.json

这会在每次代码推送或PR时，自动对预定义的目标运行Nuclei扫描，并将结果输出为文件。

7.3 与通知系统集成

你可以编写一个简单的脚本，解析Nuclei的JSONL输出，当发现高危或严重漏洞时，通过Slack、钉钉、企业微信或邮件发送警报。

import json import requests SLACK_WEBHOOK_URL = "YOUR_SLACK_WEBHOOK" with open('nuclei_results.jsonl', 'r') as f: for line in f: finding = json.loads(line) if finding['info']['severity'] in ['high', 'critical']: message = { "text": f"🚨 *高危漏洞发现* 🚨\n*目标*: {finding['host']}\n*漏洞*: {finding['info']['name']}\n*严重等级*: {finding['info']['severity']}\n*模板*: {finding['template']}" } requests.post(SLACK_WEBHOOK_URL, json=message)

8. 性能调优与最佳实践

使用Nuclei扫描大规模资产时，性能和不干扰业务是关键。

8.1 性能调优参数

• -rate-limit (-rl): 这是保护目标和你自己网络的第一道防线。从较低值（如30-50）开始，根据目标响应情况调整。扫描内网或测试环境可以适当提高。
• -concurrency (-c)和-bulk-size (-bs): 这两个参数共同控制并行度。-c是“横向”并行（模板数），-bs是“纵向”并行（主机数）。默认值（25, 25）对于普通机器已经较高。如果扫描时CPU或内存占用过高，或网络错误增多，应降低这些值。一个经验公式是总并发 ≈ c * bs，建议根据机器核心数和网络带宽调整。
• -project:务必启用。它能避免跨模板的重复请求，对于有大量通用路径（如/robots.txt,/favicon.ico）的扫描，提速效果极其明显。
• -timeout和-retries: 对于网络状况不佳的目标，增加超时和重试次数可以减少因超时导致的漏报。
• -stream: 流模式。Nuclei默认会先读取所有输入目标并排序。使用-stream可以立即开始处理输入，在从管道接收流式目标时有用，能更快产生初始结果。

8.2 扫描策略最佳实践

1. 分阶段扫描：不要一开始就全量模板扫所有目标。
   • 阶段一（快速发现）：使用-s high,critical和-tags exposures,misconfiguration快速发现最危险的问题。
   • 阶段二（技术栈专项）：根据阶段一发现的Web框架、中间件、CMS，使用-tags进行针对性扫描。
   • 阶段三（深度测试）：对关键系统，使用-headless和所有相关模板进行深度扫描。
2. 目标列表预处理：扫描前，对目标列表进行去重、格式化（确保有正确的协议头http://或https://）、存活检测（用httpx过滤出真正可访问的URL）。这能节省大量时间。
3. 结果去重与聚合：Nuclei本身可能会因为同一漏洞被多个模板检测到而产生重复结果（例如，一个路径既是信息泄露，又被归类为配置错误）。使用jq或自定义脚本对最终结果进行去重和聚合，按主机或漏洞类型整理报告。
4. 尊重扫描策略：在扫描任何非自有资产前，务必获得明确授权。即使是内部扫描，也最好安排在维护窗口或非业务高峰时段，并提前通知相关团队。合理设置速率限制和并发数。

8.3 常见问题与排查

• 问题：扫描速度非常慢，CPU/内存占用不高。
  • 排查：检查网络连接和目标响应速度。可能是-rate-limit设置过低，或目标响应延迟高导致排队。尝试增加-timeout，并使用-stats观察请求错误率。如果错误率高，可能是目标有WAF/IPS拦截，需要进一步降低速率或调整请求头。
• 问题：Nuclei报错“template parsing failed”或“invalid template”。
  • 排查：运行nuclei -validate -t /path/to/template.yaml检查模板语法。最常见的原因是YAML格式错误（缩进必须是空格，且要一致）或使用了不支持的DSL函数。检查Nuclei和模板库的版本是否兼容。
• 问题：扫描结果为空，但目标明显存在服务。
  • 排查：
    1. 确认目标URL格式正确，且Nuclei可以访问（尝试用curl）。
    2. 检查使用的模板是否匹配目标技术栈。用-debug模式运行一个通用模板（如http/technologies-detect），看是否能正确识别技术。
    3. 可能所有模板的匹配条件都不满足。尝试运行一个肯定会返回结果的测试模板，例如检测HTTP标题的模板。
• 问题：误报太多。
  • 处理：这是自动化扫描的共性问题。首先手动验证关键漏洞。对于反复误报的模板，记录其ID，在后续扫描中使用-eid参数排除。考虑向社区提交误报详情，帮助改进模板。在编写自定义模板时，尽量使用更精确的匹配条件（组合状态码、关键词、正则、响应大小）。
• 问题：如何更新Nuclei引擎本身？
  • 解答：使用nuclei -up命令可以更新Nuclei二进制文件到最新版本。对于通过包管理器安装的，使用对应的更新命令（如brew upgrade nuclei）。

Nuclei是一个在不断进化的强大工具，社区是其生命力所在。多关注GitHub仓库的更新，学习他人编写的优秀模板，并在遵守规则的前提下积极贡献，你不仅能更好地使用它，也能成为推动社区发展的一份子。安全之路，工具是帮手，但人的经验和判断永远是最核心的。