文章总结： ShadowScan安全扫描器v1.0.1主要修复了配置保存、CensysAPI适配、数据导出错位等13项P0级问题，优化了资产去重逻辑和PII校验规则，新增JSON路径解析和敏感信息脱敏功能。工具支持多平台资产测绘与自动化敏感信息扫描，强调合规使用并提供了GitHub地址和交流群渠道。 综合评分： 78 文章分类： 安全工具,漏洞分析,安全开发,数据安全,应用安全

原创 | ShadowScan 安全扫描器v1.0.1更新

原创

MY0723 MY0723

不秃头的安全

2026年5月18日 20:11 北京

在小说阅读器读本章

去阅读

ShadowScan 安全扫描器 v1.0.1

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

ShadowScan 是一款面向安全从业人员的自动化信息泄露扫描与资产测绘工具。深度整合多平台搜索引擎，通过自动化 Dork 语法扫描发现暴露在公网的敏感文件，并自动提取身份证号、手机号、学号、邮箱、银行卡号等个人敏感信息（PII）。

支持 Bing / FoFa / Hunter / Quake / Shodan / Censys / Zoomeye / 0.zone / DayDayMap 等主流搜索引擎与资产测绘平台。

1、更新日志

### v1.0.1**P0 必修修复（13 项）**| 修复项 | 说明 ||--------|------|| 配置保存不生效 | ApiConfigService 移除启动时静态快照，改为动态 getter；修改 API Key 后无需重启即可生效 || Censys 配置模型 | 支持 LEGACY（API ID+Secret）和 PLATFORM_V3（PAT+Org ID）两种模式，自动识别 PAT 前缀 || Censys 初始化参数 | 修正 Module2Controller 传参，PAT 走 v3 端点 + Bearer Token，Legacy 走 v2 端点 + Basic Auth || Censys Org ID 传递 | 验证与搜索统一使用 `X-Organization-ID` Header + `organization_id` 参数 || 旧 CensysApiClient | v1→v2 接口升级，`apiKey:apiKey`→`apiId:apiSecret`，废弃重复客户端 || CSV 导出列错位 | 手写拼接改为字段数组循环导出，表头与数据列数严格一致 || JSON 嵌套字段 | 新增&nbsp;`jsonPath()`&nbsp;方法支持&nbsp;`a.b.c`&nbsp;路径读取，证书有效期/CN/Issuer 正常展示 || 资产去重 | 按类型定义去重 Key：资产&nbsp;`ip:port:protocol`、证书&nbsp;`fingerprint`、漏洞&nbsp;`cveId+ip+port`&nbsp;|| 来源统计 |&nbsp;`setSourcePlatform()`&nbsp;自动同步到&nbsp;`sourcePlatforms`&nbsp;集合，多平台来源统计准确 || 主键获取 |&nbsp;`prepareStatement`&nbsp;增加&nbsp;`RETURN_GENERATED_KEYS`，新增记录后获取真实 scanId || ResultSet 泄漏 |&nbsp;`getResultsByScanId()`&nbsp;改为返回&nbsp;`List<ScanResult>`，内部 try-with-resources 自动关闭 || 域名匹配误判 |&nbsp;`contains()`→`equals() || endsWith("."+target)`，避免&nbsp;`notexample.com`&nbsp;误命中 || FileDownloader | 最大重试 3 次、50MB 大小限制、流式写文件、共用连接池 HTTP Client |
**P1 应修（11 项）**| 修复项 | 说明 ||--------|------|| DataRepository 线程安全 |&nbsp;`HashMap`→`ConcurrentHashMap`，`ArrayList`→`CopyOnWriteArrayList`，关键路径加 synchronized 锁 || 关系构建性能 | O(n²) 双循环改为先建 IP/domain/org/CIDR 索引再生成关系，千级资产导入不卡 UI || HTTP 请求封装 | 新增&nbsp;`PlatformHttpClient`，统一 GET/POST、Bearer/Basic/API-KEY 认证、429/401/403 错误处理 || 控制器拆分 | Module2PlatformController、MainController 按职责拆为 Controller/Service/Parser/Exporter || 平台字段 Schema |&nbsp;`PlatformFieldMapper`&nbsp;统一表格列、CSV 导出、暴露面映射字段定义 || 旧实现清理 | 废弃&nbsp;`PlatformConfigManager`&nbsp;独立配置，统一到&nbsp;`ApiConfigService`&nbsp;|| ThreatBook pending | 移除重复&nbsp;`logClick()`，只保留&nbsp;`showPendingDialog`&nbsp;内部一处 || PII 校验器 | 身份证增加校验位验证（`isValidIdCard`）、银行卡增加 Luhn 算法校验 || 敏感信息脱敏 | 新增&nbsp;`SensitiveValueMasker`（maskIdCard/maskPhone/maskEmail/maskBankCard/maskToken） || PII 输出脱敏 |&nbsp;`buildSampleDescription`、`buildCategorySampleDescription`&nbsp;所有 PII 显示值统一脱敏 || AppPaths | 新增&nbsp;`AppPaths`&nbsp;工具类，配置/数据库/输出/日志统一到&nbsp;`~/.shadowscan/`&nbsp;目录 |
**P2 增强（4 项）**| 修复项 | 说明 ||--------|------|| 核心单测 |&nbsp;`SensitiveValueMaskerTest`、`ExposureDataTest`、`ApiConfigServiceTest`、`PlatformFieldMapperTest`&nbsp;|| JUnit 5 依赖 | pom.xml 添加&nbsp;`junit-jupiter 5.10.2`&nbsp;|| AppPaths 架构 | 从不同目录启动程序读写同一套用户配置，不再依赖&nbsp;`user.dir`&nbsp;|| Logger 统一 |&nbsp;`PlatformHttpClient`/`AppPaths`&nbsp;统一错误输出，PII 敏感值不进入日志 |

工具交流群

工具地址：https://github.com/MY0723/ShadowScan

工具  使用手册：

https://github.com/MY0723/ShadowScan/blob/main/README.md

有问题或更新会优先在群里说，需要的可以加群

  如果群满加我拉

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 MY0723 MY0723《原创 | ShadowScan 安全扫描器v1.0.1更新》