扫描报告
5 /100
Bank Card Origin Query - 银行卡归属地查询
根据银行卡号查询发卡行与归属地,支持卡号格式校验
银行卡归属地查询工具,声明清晰(仅调用JisuAPI查询银行卡信息),代码与文档完全一致,无越权操作,无可疑行为。
可以安装
可直接使用。建议在 requirements.txt 中锁定 requests 版本以减少依赖风险。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | requests 依赖无版本锁定 | bankcard.py:8 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | READ | ✓ 一致 | 仅读取自身脚本文件,无其他文件操作 |
| 网络访问 | READ | READ | ✓ 一致 | bankcard.py:36 仅向 https://api.jisuapi.com/bankcard/query 发起 GET 请求,符合声明 |
| 命令执行 | NONE | NONE | — | 代码无任何 subprocess/os.system/shell 执行调用 |
| 环境变量 | READ | READ | ✓ 一致 | bankcard.py:65 仅读取 JISU_API_KEY,未遍历或外传环境变量 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 无浏览器相关代码 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
| 技能调用 | NONE | NONE | — | 无其他技能调用 |
1 高危 6 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:21 中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 中危 外部 URL 外部 URL
https://www.jisuapi.com/api/bankcard SKILL.md:14 中危 外部 URL 外部 URL
http://www.jisuapi.com/api/bankcard/upload/80/2.png SKILL.md:66 中危 外部 URL 外部 URL
http://www.icbc.com.cn SKILL.md:68 中危 外部 URL 外部 URL
https://api.jisuapi.com/bankcard/query bankcard.py:14 目录结构
2 文件 · 7.6 KB · 236 行 Markdown 1f · 142L
Python 1f · 94L
├─
bankcard.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | 未声明(依赖外部环境) | pip | 否 | 建议添加 requirements.txt 锁定版本 |
安全亮点
✓ 代码结构清晰,单一职责(仅做银行卡归属地查询)
✓ SKILL.md 文档完整,详细说明了 API Key 配置方式、请求参数、返回字段、错误码
✓ 声明的权限与实际代码行为完全一致,无阴影功能
✓ 无 shell 执行、无凭证遍历、无数据外传
✓ 网络请求目标明确固定为 jisuapi.com,无动态 IP 或可疑域名
✓ 输入验证充分(bankcard 非空检查、JSON 解析错误处理、HTTP 状态码检查)
✓ 使用 timeout=10 防止请求无限挂起
✓ SKILL.md:21 的 API_KEY="your_appkey_here" 为文档示例占位符,非真实凭证(pre-scan 标记为误报)