扫描报告
25 /100
buy-domain-helper
3-layer site launcher: tunnel any HTML instantly (no account), deploy to Cloudflare Pages (permanent), then buy a domain and link it via DNS
Cloudflare部署工具,代码无恶意行为,但存在文档-声明不一致和供应链瑕疵
可以安装
建议在SKILL.md中补充NETA_TOKEN说明,并考虑锁定npx依赖版本
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | NETA_TOKEN环境变量未在文档中声明 文档欺骗 | package.json:9 |
| 低危 | 动态npm包下载无版本锁定 供应链 | site.js:67 |
| 提示 | 自动安装系统工具 权限提升 | site.js:49 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | site.js:67-75 deploy命令读取本地目录 |
| 网络访问 | WRITE | WRITE | ✓ 一致 | site.js:26 api()函数调用Cloudflare API |
| 命令执行 | WRITE | WRITE | ✓ 一致 | site.js:49 execSync('brew install'), site.js:73 wrangler deploy |
| 环境变量 | NONE | READ | ✗ 越权 | package.json:9-11 声明NETA_TOKEN但SKILL.md未提及 |
8 项发现
中危 外部 URL 外部 URL
https://abc.trycloudflare.com README.md:41 中危 外部 URL 外部 URL
https://*.trycloudflare.com README.md:65 中危 外部 URL 外部 URL
https://dash.cloudflare.com/profile/api-tokens README.md:81 中危 外部 URL 外部 URL
https://abc123.my-site.pages.dev README.md:88 中危 外部 URL 外部 URL
https://dash.cloudflare.com/ README.md:110 中危 外部 URL 外部 URL
https://mysite.com README.md:149 中危 外部 URL 外部 URL
https://www.neta.art/open/ package.json:9 中危 外部 URL 外部 URL
https://api.cloudflare.com/client/v4 site.js:26 目录结构
4 文件 · 15.4 KB · 420 行 Markdown 2f · 240L
JavaScript 1f · 166L
JSON 1f · 14L
├─
package.json
JSON
├─
README.md
Markdown
├─
site.js
JavaScript
└─
SKILL.md
Markdown
依赖分析 3 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
serve | * | npx | 否 | 动态下载无版本锁定 |
cloudflared | * | brew | 否 | 系统级工具自动安装 |
wrangler | * | npm | 否 | Cloudflare官方CLI |
安全亮点
✓ 代码结构清晰,功能与文档描述基本一致
✓ 使用原生Node.js API,无额外恶意依赖
✓ API token通过命令行参数或环境变量传入,凭证不硬编码
✓ 错误处理完善,区分可恢复错误和致命错误
✓ wrangler作为官方工具执行部署,符合Cloudflare官方最佳实践