注意: 源码:https://pan.quark.cn/s/de9abf9bc99b 提取码:YaBe
Fir-Fetch 是一款功能强大的自动化工具,旨在从互联网上公开的文档和网页中,精准、高效地发现潜在的个人信息泄露。它通过模拟用户搜索行为,深度挖掘并智能分析PDF、Excel和HTML等多种文件格式,自动化地完成从信息搜集、文件下载、内容解析到风险告警的全过程,极大地提升了信息安全排查的效率与广度,并且设置里可以自己设置收集的关键字,支持图形化,且是exe的,无需安装环境,点击即用。
|
|
在使用之前,请确保您已了解并同意相关法律法规,本工具仅用于授权的安全测试与评估。
- 准备环境
- 本工具为 Windows 可执行程序
Fir-Fetch.exe,无需安装 Python 环境。 - 首次运行可能会触发 Playwright 首次运行的依赖安装提示,请根据程序弹窗指引同意自动安装浏览器内核。
- 本工具为 Windows 可执行程序
- 启动程序
- 双击
Fir-Fetch.exe启动程序主界面。
- 双击
- 开始扫描
- 在 "目标" 输入框中输入单个目标域名,例如
example.com。 - 点击 [开始扫描] 按钮,程序将立即开始执行任务。扫描结果和日志会实时显示在界面上。
- 在 "目标" 输入框中输入单个目标域名,例如
- 单一目标扫描:
- 在 "目标" 输入框直接输入您想要扫描的域名。
- 根据需求在 "选项" 区域调整搜索页数、是否显示浏览器等。
- 点击 [开始扫描]。
- 批量目标扫描:
- 创建一个
.txt文件,将所有需要扫描的域名逐行写入并保存。 - 点击 [浏览文件] 按钮,选择您刚刚创建的
.txt文件。输入框将自动填充文件路径。 - 点击 [开始扫描],程序将依次扫描文件中的所有域名。
- 创建一个
- 高级设置:
- 点击 [设置] 按钮,可以打开一个新窗口,用于自定义搜索关键词、标题黑/白名单等,以优化扫描的精准度。
- 勾选 [收集联系方式] 复选框,程序将在扫描过程中额外提取并保存手机号和邮箱信息。
- 查看结果:
- 扫描过程中发现的敏感文件,会自动保存在程序同目录下的
Desktop/sfz_scan/sensitive_files文件夹内,并按域名和泄露类型分好类。 - 您可以随时点击 [打开结果文件夹] 按钮快速访问这些文件。
- 扫描过程中发现的敏感文件,会自动保存在程序同目录下的
Fir-Fetch 内置了多个高度专业化的检测模块,以应对不同类型的敏感信息泄露场景。
| 名称 | 类型 | 说明 |
|---|---|---|
| 学号检测 | 核心模块 | 针对教育行业场景深度优化,通过上下文(如“学号”、“姓名”等)和数据格式,有效识别学生学号信息,支持表格和“姓名+学号”文本模式匹配。 |
| 联系方式检测 | 可选模块 | 可检测手机号码和电子邮箱地址。支持从表格的“联系方式”列提取,或从文本中直接匹配姓名与联系方式的组合,结果将单独汇总。 |
| PDF文件解析器 | 核心模块 | 强大的PDF解析引擎,能够提取PDF中的表格和纯文本内容,支持多页文档扫描,并从中应用其他检测模块进行分析。 |
| Excel文件解析器 | 核心模块 | 兼容.xls和.xlsx两种格式,能够读取多个工作表(Sheet),并智能识别包含敏感信息的表头(Header)和数据列。 |
| HTML网页解析器 | 核心模块 | 采用Pandas和BeautifulSoup双引擎。优先尝试从HTML表格中提取结构化数据,若失败则降级为对整个网页的纯文本进行正则匹配,确保不遗漏任何信息。 |
| 智能过滤引擎 | 辅助模块 | 通过可自定义的黑白名单关键词,对搜索结果的标题和摘要进行预过滤,剔除大量无关信息(如招聘、采购),专注于高价值目标。 |