扫描报告
5 /100
category-collector
Shopify 网店分类链接采集器 - 自动从导航提取真实分类层级,输出 CSV
Shopify 分类采集器,功能正常,声明与实际行为一致,无恶意指标
可以安装
无需额外限制,可正常使用
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 提示 | 依赖版本使用语义化版本 供应链 | package.json:15 |
| 提示 | 预扫描 IP 告警误报 文档欺骗 | collect-ajax.js:38 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 命令执行 | WRITE | WRITE | ✓ 一致 | 所有脚本均为 node 脚本,通过 exec 调用 |
| 网络访问 | NONE | READ | ✓ 一致 | 通过 Playwright 访问用户指定的 Shopify 网站 |
| 文件系统 | WRITE | WRITE | ✓ 一致 | 写入 CSV 和截图到用户指定目录 |
| 浏览器 | NONE | READ | ✓ 一致 | 通过 Playwright 进行网页抓取,需要浏览器控制能力 |
1 高危 8 项发现
高危 IP 地址 硬编码 IP 地址
120.0.0.0 collect-ajax.js:38 中危 外部 URL 外部 URL
https://shop.futvortexstore.com/ README.md:36 中危 外部 URL 外部 URL
https://lulumonclick-eu.shop/collections/women-women-clothes-tank-tops README.md:58 中危 外部 URL 外部 URL
https://shop.futvortexstore.com/collections/liverpool SKILL.md:63 中危 外部 URL 外部 URL
https://.../collections/premier-league/liverpool collect-correct-hover.js:299 中危 外部 URL 外部 URL
https://registry.npmmirror.com/fsevents/-/fsevents-2.3.2.tgz package-lock.json:20 中危 外部 URL 外部 URL
https://registry.npmmirror.com/playwright/-/playwright-1.58.2.tgz package-lock.json:34 中危 外部 URL 外部 URL
https://registry.npmmirror.com/playwright-core/-/playwright-core-1.58.2.tgz package-lock.json:52 目录结构
12 文件 · 60.2 KB · 2107 行 JavaScript 7f · 1832L
Markdown 2f · 174L
JSON 3f · 101L
├─
collect-ajax.js
JavaScript
├─
collect-correct-hover.js
JavaScript
├─
collect-correct.js
JavaScript
├─
collect-improved.js
JavaScript
├─
collect.js
JavaScript
├─
debug-liverpool.js
JavaScript
├─
debug-nav.js
JavaScript
├─
package-lock.json
JSON
├─
package.json
JSON
├─
README.md
Markdown
├─
setup.json
JSON
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
playwright | ^1.40.0 | npm | 否 | 无版本锁定,存在更新风险 |
安全亮点
✓ SKILL.md 声明与代码实际行为高度一致
✓ 所有脚本功能单一明确,均为网页爬取和 CSV 输出
✓ 无凭证收割、环境变量遍历、敏感路径访问
✓ 无 base64 编码、eval、远程代码执行等高危操作
✓ 无外部数据外泄行为
✓ 代码结构清晰,注释完整
✓ 硬编码路径 C:\workspace\caiji 符合 Windows 部署场景