敏感信息扫描器
扫描代码与配置中的 API 密钥、密码、令牌与数据库连接,输出风险等级与定位信息,帮助排查泄露风险
输入代码或文本
支持的检测模式
- API密钥:支付平台、第三方服务密钥
- JWT令牌:JSON Web Token
- 密码字段:password/secret 等变量
- 数据库连接:连接字符串与账号密码
- AWS密钥:Access Key / Secret Key
- 私钥:RSA/PEM 格式私钥
常见泄露模式
API_KEY = "sk_live_..."
password = "12345678"
const SECRET = "abc123..."
export default "eyJhbGciOi..."
mysql://user:pass@host
安全建议
- 使用环境变量存储敏感信息,不要硬编码在代码中
- 使用 .env 文件并添加到 .gitignore
- 使用 git-secrets 或类似工具防止提交敏感信息
- 定期扫描代码仓库,检查已提交的敏感信息
- 发现泄露后立即撤销并更换密钥/令牌
使用说明
工具介绍
敏感信息扫描器在浏览器本地识别代码、配置和日志中的密钥与凭据,输出风险等级与定位信息,帮助开发阶段快速自查。
核心功能
- 覆盖 API 密钥、JWT、密码字段、数据库连接、AWS 密钥与私钥等常见模式
- 按行列定位匹配片段,便于快速定位与修复
- 提供高/中/低风险分级与统计概览
- 支持示例加载与一键清空,适配代码审查流程
检测范围
- 识别常见云服务与第三方平台密钥模式
- 检测数据库连接字符串与账号密码组合
- 识别 JWT 与私钥头部特征
- 匹配常见密码字段命名
使用步骤
- 粘贴代码、配置或日志内容
- 选择需要检测的类型
- 点击开始扫描查看结果
- 根据风险等级与建议完成修复
结果解读
- 高风险:疑似真实密钥或凭据,建议立即更换
- 中风险:可能为测试密钥或访问令牌,建议复核
- 低风险:弱特征匹配,需结合上下文确认
安全建议
- 将敏感信息迁移到环境变量或密钥管理服务
- 提交前使用预提交钩子或扫描工具二次检查
- 审计历史提交,必要时进行密钥轮换
隐私说明
- 所有扫描在本地浏览器完成,内容不会上传服务器
- 建议在共享设备上使用后及时清空输入内容