Scan Report
5 /100
zhuocha
招投标重复项目核实助手
招投标重复项目核实工具,功能清晰,无恶意行为,连接内网数据库进行字段比对和结果写入
Safe to install
直接使用,代码安全
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | NONE | — | 脚本仅通过 HTTP API 操作数据,无直接文件读写 |
| Network | READ,WRITE | READ,WRITE | ✓ Aligned | 连接 192.168.88.51 内网 API 查询/写入数据 |
| Shell | NONE | NONE | — | 无 subprocess 或 shell 执行 |
| Database | READ,WRITE | READ,WRITE | ✓ Aligned | 通过 API 查询 dify_ns_re_readsource/ods_bid_content 并写入 result.dify_ns_re_result |
| Environment | NONE | NONE | — | 无环境变量遍历或敏感信息访问 |
3 findings
Medium External URL 外部 URL
http://192.168.88.51:6100/query SKILL.md:14 Medium External URL 外部 URL
http://192.168.88.51:5100/query SKILL.md:16 Medium External URL 外部 URL
http://192.168.88.51:6100/insert SKILL.md:17 File Tree
2 files · 13.8 KB · 361 lines Python 1f · 225L
Markdown 1f · 136L
├─
▾
scripts
│ └─
zhuocha_finder.py
Python
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
requests | * | pip | No | 无版本锁定,但请求目标为内网 IP,风险可控 |
Security Positives
✓ 功能单一明确:仅用于招投标数据重复检测
✓ 代码结构清晰,有完整注释和文档
✓ 使用 SQL 参数化查询(:reid 等),有基本 SQL 注入防护意识
✓ 重试机制完善(rp 函数 3 次重试)
✓ 内网 IP 访问,无外部网络通信
✓ 无凭证收割、文件扫描、远程执行等危险行为