0x01 工具介绍
在日常渗透测试、代码审计或源码泄漏排查中,最令人头疼的就是硬编码密钥、云服务器AK/SK、手机号、身份证号、数据库连接串等敏感信息散落在文件角落里,人工翻找效率低下,还容易遗漏,错过关键信息。于是开发了一站式源码安全检测工具,专为云安全、APP、小程序源码泄露排查打造,支持多层目录递归深度扫描。依托近百条实战正则规则,可精准识别AK/SK、JWT令牌、手机号、身份证、密钥等各类高低危敏感数据,自动过滤无效二进制文件,扫描高效不遗漏。工具可精准定位泄露位置并预览上下文,支持多格式结果导出,轻松完成代码审计与渗透信息收集工作。
注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo "设为 星标**⭐️****** "否 则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨核心能力
工具内置的敏感信息提取规则近百条,是结合网上公开正则以及本人多年渗透测试经验,提炼出来的正则规则,覆盖云安全、小程序、APP、web等常见敏感信息泄露类型,使用的时候只需要选择需要扫描的文件即可,支持递归多层文件夹扫描,即使是藏在最深层文件夹中的文件敏感信息,也能精准获取,不仅可以获取敏感信息,还可以精准定位泄露的位置,以及通过工具对泄露位置的上下文进行预览。
部分敏感信息类型如下:
🔑高危敏感信息(核心泄露风险)
-
各类密码、云平台密钥(阿里 / 腾讯 / 京东 / 百度 / 字节 / 金山 / 谷歌 / AWS)
-
微信
sessionkey、webhook、JWT 令牌、OAuth 令牌
📱中危敏感信息(隐私 / 业务数据)
-
手机号、身份证、邮箱、内外网 IP、MAC 地址、URL
-
微信 / 小程序 / 企业微信 / 钉钉开发凭证
☁️低危敏感信息(资源 / 配置)
-
全平台云存储桶
-
地图调用密钥
🧩安全漏洞特征
- Swagger 接口、Druid 控制台、SQL 报错、目录遍历、SSRF、JSONP、Source Map 文件
其它功能:
✅ 高效筛选:按风险等级(高 / 中 / 低)+ 数据类型快速过滤
✅ 一键导出:支持 TXT/JSON/CSV 三种格式导出扫描结果
✅ 可视化查看:双击记录 → 标红敏感信息 + 展示上下文 5 行(HTML 渲染)
✅ 便捷操作:右键支持单条复制、导出、移除结果
✅ 智能优化:自动去重、跳过二进制文件(apk/png/jar 等),扫描速度极快
✅ 友好体验:实时进度条 + 文件提示,大文件扫描无压力
0x03 更新介绍
新增:批量主动检测功能0x04 使用介绍
📦安装与使用指南
1、对一个小程序进行反编译,得到了源码文件
2、打开掘地三尺
java -jar DigDeep.jar3、选中小程序反编译后的源码文件夹,点击开始扫描,可看到扫描出大量敏感信息,包括身份证、手机号、IP地址、邮箱📮、密码等。
4、双击其中的任意一条敏感信息,可以预览泄露位置的上下文(敏感信息,会以红色高亮显示),且会显示泄露信息具体的文件位置。
下载方式
渗透安全HackTwo⬇️⬇️⬇️回复20260528获取下载⬇️⬇️⬇️