扫描报告
5 /100
github-bounty-finder
扫描 GitHub Issues 和 Algora 赏金平台,自动化竞争分析和机会评分
GitHub Bounty Finder 是一个合法的赏金扫描工具,声明功能与实际行为完全一致,无恶意行为、无阴影功能、依赖安全。
可以安装
该技能可安全使用。无需额外限制。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | src/scanner.js:46 axios.get GitHub API, src/scanner.js:64 Algora API |
| 文件系统 | WRITE | WRITE | ✓ 一致 | bin/cli.js:73 fs.writeFileSync 保存 JSON 结果 |
| 环境变量 | READ | READ | ✓ 一致 | bin/cli.js:13 dotenv.config, scanner.js:16-17 读取 GITHUB_TOKEN/ALGORA_API_KEY |
| 命令执行 | NONE | NONE | — | 无 shell 执行代码 |
| 技能调用 | NONE | NONE | — | 无外部技能调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板访问 |
| 浏览器 | NONE | NONE | — | 无浏览器自动化 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
6 项发现
中危 外部 URL 外部 URL
https://img.shields.io/badge/version-1.0.0-blue.svg README.md:5 中危 外部 URL 外部 URL
https://img.shields.io/badge/license-MIT-green.svg README.md:6 中危 外部 URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen.svg README.md:7 中危 外部 URL 外部 URL
https://algora.io/settings/api README.md:79 中危 外部 URL 外部 URL
https://api.algora.io/v1/bounties src/scanner.js:64 提示 邮箱 邮箱地址
[email protected] README.md:248 目录结构
6 文件 · 28.0 KB · 1056 行 Markdown 2f · 468L
JavaScript 2f · 451L
JSON 2f · 137L
├─
▾
bin
│ └─
cli.js
JavaScript
├─
▾
src
│ └─
scanner.js
JavaScript
├─
clawhub.json
JSON
├─
package.json
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 5 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
axios | ^1.6.0 | npm | 否 | 版本锁定,HTTP 客户端库 |
chalk | ^4.1.2 | npm | 否 | 版本锁定,终端颜色输出 |
commander | ^11.1.0 | npm | 否 | 版本锁定,CLI 框架 |
dotenv | ^16.3.1 | npm | 否 | 版本锁定,环境变量加载 |
node-fetch | ^2.7.0 | npm | 否 | 版本锁定,未实际使用(代码使用 axios) |
安全亮点
✓ 声明功能与实际代码完全一致,无阴影功能
✓ 凭证(GITHUB_TOKEN/ALGORA_API_KEY)仅用于官方 API 认证,无外传
✓ 使用版本锁定的稳定依赖(axios^1.6.0, chalk^4.1.2, commander^11.1.0)
✓ 代码结构清晰,使用标准 axios 库进行 HTTP 请求
✓ 文件系统写入仅用于保存用户请求的 JSON 结果
✓ 无代码混淆、无 base64 编码、无 eval 调用
✓ 无 subprocess/shell 远程执行
✓ 无环境变量遍历或敏感路径访问