扫描报告
5 /100
Bank Card Recognition OCR - 银行卡识别
银行卡图片OCR,返回卡号、银行与卡类型等
功能明确、无越权行为的银行卡OCR技能,仅调用第三方API完成识别,有完善的路径遍历防护。
可以安装
可直接使用。建议在生产环境中通过环境变量而非文档传递 API Key。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | bankcardcognition.py:54-83 仅读取图片文件 |
| 网络访问 | READ | READ | ✓ 一致 | bankcardcognition.py:85-112 仅调用 jisuapi.com 银行卡识别API |
| 环境变量 | READ | READ | ✓ 一致 | bankcardcognition.py:120 仅读取 JISU_API_KEY |
| 命令执行 | NONE | NONE | — | 代码未使用 subprocess/os.system |
1 高危 4 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:21 中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 中危 外部 URL 外部 URL
https://www.jisuapi.com/api/bankcardcognition/ SKILL.md:16 中危 外部 URL 外部 URL
https://api.jisuapi.com/bankcardcognition/recognize bankcardcognition.py:17 目录结构
2 文件 · 10.1 KB · 309 行 Python 1f · 163L
Markdown 1f · 146L
├─
bankcardcognition.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 无版本锁定,但作为知名库风险可控 |
安全亮点
✓ 良好的路径遍历防护:拒绝绝对路径和包含 .. 的路径
✓ 严格的输入验证:JSON解析、字段类型检查
✓ 完整的错误处理:网络错误、API错误、文件IO错误均有覆盖
✓ base64 编码异常捕获,防止畸形输入
✓ 仅声明单一 API 端点,无额外网络请求
✓ 无敏感路径访问(不读取 ~/.ssh、.env 等)
✓ 无凭证收割行为
✓ 无隐蔽的代码路径