掘地三尺(DigDeep):覆盖云安全 、小程 序、APP、web等常见敏感信息泄露类型,一键挖掘源码中的密码/密钥/手机号/身份证/云AK等近百类敏感数据。
在日常渗透测试、代码审计或源码泄漏排查中,最令人头疼的就是硬编码密钥、云服务器AK/SK、手机号、身份证号、数据库连接串等敏感信息散落在文件角落里,人工翻找效率低下,还容易遗漏,错过关键信息。
于是开发了“掘地三尺”这个信息收集工具,该工具支持渗透测试时候常遇到的场景,例如获取了网站源码、web前端js、html等文件、或者反编译APP和小程序获取到源码后,要去查找源码里面的敏感信息,例如身份证号、密码、AK/SK、Swagger路径等信息,那么就可以用掘地三尺来帮你高效完成。
工具内置的敏感信息提取规则近百条,是结合网上公开正则以及本人多年渗透测试经验,提炼出来的正则规则,覆盖云安全、小程序、APP、web等常见敏感信息泄露类型,使用的时候只需要选择需要扫描的文件即可,支持递归多层文件夹扫描,即使是藏在最深层文件夹中的文件敏感信息,也能精准获取,不仅可以获取敏感信息,还可以精准定位泄露的位置,以及通过工具对泄露位置的上下文进行预览。
部分敏感信息类型如下: 🔑 高危:密码、各种云平台 AccessKey(阿里/腾讯/京东/百度/字节/金山/谷歌)、微信 sessionkey、webhook、JWT 令牌、AWS Key、Google OAuth Token 等。 📱 中危:手机号、身份证、邮箱、内网/公网 IP、MAC 地址、URL、微信公众号/小程序 APPID、企业微信/钉钉 corpid 、加密密钥等。 ☁️ 低危:各类云存储桶(阿里/腾讯/华为/亚马逊/百度/谷歌/微软/京东)、地图调用密钥等。 🧩 额外检测:Swagger、Druid 路径、SQL 错误信息、目录遍历特征、SSRF 参数、JSONP 回调参数、Source Map 文件等。
其它功能: ✅ 支持按风险等级(高/中/低)和数据类型快速筛选 ✅ 结果表格一键导出(TXT / JSON / CSV 三种格式) ✅ 双击任意记录,高亮显示命中行 + 上下文 5 行(HTML 渲染,敏感信息标红) ✅ 右键单条复制、单条导出、单条删除(仅从结果移除) ✅ 智能去重(URL、微信公众号 APPID 等重复项只保留一次) ✅ 自动跳过二进制文件(.dex/.apk/.png/.jar 等),扫描效率极高 ✅ 实时进度条 + 当前文件提示,大文件扫描不焦虑
详细使用教程参考:https://mp.weixin.qq.com/s/BDy_sTneH8nJ9rUr27GJow
1、对一个小程序进行反编译,得到了源码文件
2、打开掘地三尺
java -jar DigDeep.jar
3、选中小程序反编译后的源码文件夹,点击开始扫描,可看到扫描出大量敏感信息,包括身份证、手机号、IP地址、邮箱📮、密码等。
4、双击其中的任意一条敏感信息,可以预览泄露位置的上下文(敏感信息,会以红色高亮显示),且会显示泄露信息具体的文件位置。
最新版本通知:请关注公众号《无影安全实验室》。