扫描报告
5 /100
vipshop-product-search
唯品会商品搜索技能,在 vip.com 搜索商品、比价、找折扣
合法的唯品会商品搜索工具,代码仅使用Python标准库向官方VIP.com API发送带认证令牌的请求,无shell执行、无凭证收割、无数据外泄。硬编码IP 120.0.0.0为User-Agent中的占位符,未用于实际连接,不构成实质威胁。
可以安装
可直接使用。无需修改。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | User-Agent 中包含占位符 IP 地址 | scripts/search.py:59 |
| 提示 | API密钥硬编码在代码中 | scripts/search.py:87 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | scripts/search.py:23 读取 ~/.vipshop-user-login/tokens.json |
| 网络访问 | READ | READ | ✓ 一致 | scripts/search.py:51-75 向 mapi-pc.vip.com 发送 GET 请求 |
1 高危 9 项发现
高危 IP 地址 硬编码 IP 地址
120.0.0.0 scripts/search.py:59 中危 外部 URL 外部 URL
https://detail.vip.com/detail-1710613281-6920685689731485274.html README.md:136 中危 外部 URL 外部 URL
https://h2.appsimg.com/xxx.jpg README.md:138 中危 外部 URL 外部 URL
https://detail.vip.com/... README.md:173 中危 外部 URL 外部 URL
https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/search/product/rank README.md:410 中危 外部 URL 外部 URL
https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/product/module/list/v2 README.md:417 中危 外部 URL 外部 URL
https://www.vip.com/ scripts/search.py:62 中危 外部 URL 外部 URL
https://www.vip.com scripts/search.py:63 中危 外部 URL 外部 URL
https://detail.vip.com/detail- scripts/search.py:214 目录结构
3 文件 · 41.9 KB · 1086 行 Markdown 2f · 680L
Python 1f · 406L
├─
▾
scripts
│ └─
search.py
Python
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
Python 标准库 | 内置 | stdlib | 否 | 仅使用 urllib、json、pathlib、sys、typing,无外部依赖 |
安全亮点
✓ 仅使用 Python 标准库(urllib、json、pathlib),无第三方依赖,无依赖供应链风险
✓ 无 shell 执行、无 subprocess 调用,仅通过 urllib 标准库发起 HTTP 请求
✓ 所有网络请求目标明确为官方唯品会域名(mapi-pc.vip.com、detail.vip.com),无境外或不明服务器
✓ 凭证仅用于向唯品会 API 发起认证请求,cookies 不外传
✓ 代码逻辑清晰,搜索→获取详情→格式化输出,路径单一,无隐蔽行为
✓ SKILL.md 声明与代码实际行为完全一致,无阴影功能
✓ 无环境变量遍历、无凭证收割模式