secretsifter/insecureshield-demo

# 不安全盾牌声明门户 一个小型 Express + 静态 HTML 演示网络应用，其设计旨在**故意存在不安全问题** —— 此仓库中的每个密钥都是伪造的但格式有效，因此秘密检测工具会像对待真实生产凭据一样触发警报。 ## 这是什么 一个静态 HTML + Express 前端，模拟了一个典型的 webpack 构建的单页应用：包括一个 `index.html`、一个 `dashboard.html`、一个站点地图、一个配置 JSON，以及一些 JS 包（`env.js`、`firebase.js`、`apim-auth.js`、`main.js`、`app.js`）。这些文件在真实客户端代码包经常泄露凭据的位置包含了凭据——例如环境文件、Firebase 初始化块、APIM 启动配置、构建清单、站点地图注释等等。 凭据覆盖了精心设计的类别范围，以便不同的扫描器测试其检测流程的不同部分： - 固定的供应商格式（AWS、Stripe、SendGrid、Google、Twilio、Mailgun） - Azure AD `client_secret`、APIM 订阅密钥、App Insights iKey - JWT 签名密钥、webhook 签名密钥 - 明文数据库密码和 SQL Server 连接字符串 - 一个 CryptoJS-AES `U2FsdGVkX1` 加密配置块 - 自定义命名的凭据键（`appKey`、`resourceKey`） - HTML 注释泄露、站点地图注释泄露、资产清单泄露 ## 本地运行 需要 Node 18+ 和 npm。 ``` git clone https://github.com/secretsifter/insecureshield-demo.git cd insecureshield-demo npm install npm start ``` 该门户监听 `http://localhost:3000`。将您选择的秘密检测工具指向它。 ## 尝试内容 在本地实例上运行以下任意组合，并比较每个工具捕获的内容： - 监视 Burp HTTP 历史记录的被动扫描器 - 具有实时验证功能的二进制包装扫描器 - 跟踪 `