扫描报告
5 /100
Car Models Inquiry - 车型大全查询
基于极速数据 API 的车型品牌/车系/车款查询工具
标准车型查询 API 封装工具,行为与文档完全一致,无越权操作,无恶意特征。
可以安装
可直接使用。无需限制。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | car.py:14 — requests.get(url) 指向固定域名 api.jisuapi.com |
| 环境变量 | READ | READ | ✓ 一致 | car.py:169 — os.getenv('JISU_API_KEY'),仅读取所需凭证 |
| 文件系统 | NONE | NONE | — | car.py 无文件读写操作 |
| 命令执行 | NONE | NONE | — | 无 subprocess / os.system / popen 调用 |
1 高危 5 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:31 中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 中危 外部 URL 外部 URL
https://www.jisuapi.com/api/car SKILL.md:24 中危 外部 URL 外部 URL
https://www.jisuapi.com/api/car/ car.py:5 中危 外部 URL 外部 URL
https://api.jisuapi.com/car car.py:14 目录结构
2 文件 · 12.7 KB · 391 行 Python 1f · 232L
Markdown 1f · 159L
├─
car.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 无版本锁定,但本工具仅做简单 HTTP GET,风险可控 |
安全亮点
✓ 声明与实现完全匹配,无阴影功能
✓ 仅访问单一固定域名 api.jisuapi.com,无动态 IP 或境外地址
✓ 不访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 不遍历或外传环境变量
✓ 第三方依赖 requests 仅用于合法 HTTP 调用
✓ 无 base64/eval/动态代码执行
✓ 无隐藏指令或 HTML 注释