扫描报告
5 /100
zhuocha
招投标重复项目核实助手
招投标重复项目核实工具,功能清晰,无恶意行为,连接内网数据库进行字段比对和结果写入
可以安装
直接使用,代码安全
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | 脚本仅通过 HTTP API 操作数据,无直接文件读写 |
| 网络访问 | READ,WRITE | READ,WRITE | ✓ 一致 | 连接 192.168.88.51 内网 API 查询/写入数据 |
| 命令执行 | NONE | NONE | — | 无 subprocess 或 shell 执行 |
| 数据库 | READ,WRITE | READ,WRITE | ✓ 一致 | 通过 API 查询 dify_ns_re_readsource/ods_bid_content 并写入 result.dify_ns_re_result |
| 环境变量 | NONE | NONE | — | 无环境变量遍历或敏感信息访问 |
3 项发现
中危 外部 URL 外部 URL
http://192.168.88.51:6100/query SKILL.md:14 中危 外部 URL 外部 URL
http://192.168.88.51:5100/query SKILL.md:16 中危 外部 URL 外部 URL
http://192.168.88.51:6100/insert SKILL.md:17 目录结构
2 文件 · 13.8 KB · 361 行 Python 1f · 225L
Markdown 1f · 136L
├─
▾
scripts
│ └─
zhuocha_finder.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 无版本锁定,但请求目标为内网 IP,风险可控 |
安全亮点
✓ 功能单一明确:仅用于招投标数据重复检测
✓ 代码结构清晰,有完整注释和文档
✓ 使用 SQL 参数化查询(:reid 等),有基本 SQL 注入防护意识
✓ 重试机制完善(rp 函数 3 次重试)
✓ 内网 IP 访问,无外部网络通信
✓ 无凭证收割、文件扫描、远程执行等危险行为