工具简介
@弱鸡师傅的又一个数据库敏感信息检索CLI工具,用于检查开发数据库中是否存在手机号、身份证、地址、账号、密码、邮箱、银行卡、token/secret等敏感信息。
看他这工具的功能应该也可用于HW攻防赛快速刷数据分等场景,这里我只是提供一个思路,工具暂时还没有去验证,感兴趣的师傅自己去看下吧…!!!
工具功能
-
数据库:MySQL/MariaDB/TiDB、MSSQL、PostgreSQL、Oracle,以及多种 MySQL/PostgreSQL 协议兼容国产数据库
-
代理:直连、SOCKS5、HTTP CONNECT
-
认证:命令行密码或隐藏交互输入
-
输出:连接信息、按表分组的敏感字段、存在行数和类似 SQL 查询结果的整行真实样例值
-
检索模式:
-
field-content:根据表/字段名定位敏感字段,再检索字段内容
-
field-name:只检索敏感表名/字段名
-
content:扫描字段内容
-
all:执行全部模式
-
敏感级别:
-
high:身份证、密码/密钥、银行卡
-
medium:手机号、邮箱
-
low:地址、用户名/账号
-
all:全部级别,默认值
支持数据库类型
工具截图
注意事项
默认会完整展示敏感样例值,用于截图证明数据存在;如需降低暴露风险,请加 --mask。 扫描过程中按 Ctrl+C 会停止后续扫描,并尽量输出和写入已经扫描完成的表结果。 GitHub Actions 仅在推送 v* tag 时触发自动测试、构建和 Release;普通 main push 不触发发布流程。
下载地址
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容