中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
Bank Card Origin Query - 银行卡归属地查询
根据银行卡号查询发卡行与归属地,支持卡号格式校验
银行卡归属地查询工具,声明清晰(仅调用JisuAPI查询银行卡信息),代码与文档完全一致,无越权操作,无可疑行为。
Skill NameBank Card Origin Query - 银行卡归属地查询
Duration30.1s
Enginepi
Safe to install
可直接使用。建议在 requirements.txt 中锁定 requests 版本以减少依赖风险。

Findings 1 items

Severity Finding Location
Low
requests 依赖无版本锁定
bankcard.py 第8行 import requests,但脚本本身未包含 requirements.txt,依赖版本由外部环境管理。建议在技能目录下添加 requirements.txt 锁定 requests 版本。
import requests
→ 添加 requirements.txt 内容:requests>=2.28.0
 bankcard.py:8
ResourceDeclaredInferredStatusEvidence
Filesystem NONE READ ✓ Aligned 仅读取自身脚本文件,无其他文件操作
Network READ READ ✓ Aligned bankcard.py:36 仅向 https://api.jisuapi.com/bankcard/query 发起 GET 请求,符合声明
Shell NONE NONE 代码无任何 subprocess/os.system/shell 执行调用
Environment READ READ ✓ Aligned bankcard.py:65 仅读取 JISU_API_KEY,未遍历或外传环境变量
Clipboard NONE NONE 无剪贴板操作
Browser NONE NONE 无浏览器相关代码
Database NONE NONE 无数据库操作
Skill Invoke NONE NONE 无其他技能调用
1 High 6 findings
🔑
High API Key 疑似硬编码凭证
API_KEY="your_appkey_here"
SKILL.md:21
🔗
Medium External URL 外部 URL
https://www.jisuapi.com/
SKILL.md:9
🔗
Medium External URL 外部 URL
https://www.jisuapi.com/api/bankcard
SKILL.md:14
🔗
Medium External URL 外部 URL
http://www.jisuapi.com/api/bankcard/upload/80/2.png
SKILL.md:66
🔗
Medium External URL 外部 URL
http://www.icbc.com.cn
SKILL.md:68
🔗
Medium External URL 外部 URL
https://api.jisuapi.com/bankcard/query
bankcard.py:14

File Tree

2 files · 7.6 KB · 236 lines
Markdown 1f · 142L Python 1f · 94L
├─ 🐍 bankcard.py Python 94L · 2.3 KB
└─ 📝 SKILL.md Markdown 142L · 5.3 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
requests 未声明(依赖外部环境) pip No 建议添加 requirements.txt 锁定版本

Security Positives

✓ 代码结构清晰,单一职责(仅做银行卡归属地查询)
✓ SKILL.md 文档完整,详细说明了 API Key 配置方式、请求参数、返回字段、错误码
✓ 声明的权限与实际代码行为完全一致,无阴影功能
✓ 无 shell 执行、无凭证遍历、无数据外传
✓ 网络请求目标明确固定为 jisuapi.com,无动态 IP 或可疑域名
✓ 输入验证充分(bankcard 非空检查、JSON 解析错误处理、HTTP 状态码检查)
✓ 使用 timeout=10 防止请求无限挂起
✓ SKILL.md:21 的 API_KEY="your_appkey_here" 为文档示例占位符,非真实凭证(pre-scan 标记为误报)