做渗透、代码审计、源码泄露排查的朋友都懂，最耗时间也最容易漏的，就是在一堆源码、JS、小程序反编译文件里**找密钥、AK/SK、密码、手机号、身份证**这些敏感信息。

人工翻文件慢到崩溃，还经常漏掉藏在深层目录里的高危数据。

今天给大家推荐一款实战超好用的敏感信息收集工具 ——**掘地三尺（DigDeep）**，专门用来在源码里 “挖宝”，效率直接拉满。

项目地址：https://github.com/shine798/DigDeep

**工具到底能干嘛？**

不管是网站源码、前端 JS、反编译 APP、还是小程序解压包，掘地三尺都能一键扫遍所有文件，把藏在里面的敏感数据全部揪出来。

不用正则、不用筛选、不用肉眼盯，点一下就出结果。

**工具核心功能**

*   近百条实战正则规则：覆盖阿里云、腾讯云、华为云、AWS、谷歌等主流云厂商 AK/SK，还有密码、JWT、webhook、邮箱、手机号、身份证、内网 IP、小程序密钥等。
    
*   递归深度扫描：多层目录也能完整遍历，藏得再深都能找到。
    
*   风险分级展示：高危、中危、低危一目了然，优先处理最危险的泄露。
    
*   上下文预览：双击任意结果，直接展示泄露位置 + 前后 5 行代码，敏感内容自动标红。
    
*   智能去重 + 高效扫描：自动跳过图片、安装包等二进制文件，扫描更快；重复结果自动合并。
    
*   结果一键导出：支持 TXT/JSON/CSV，导出报告、整理漏洞超方便。
    
*   额外安全检测：顺带扫出 Swagger、Druid、SQL 报错、SSRF、目录遍历等常见风险点。

**超简单使用步骤**

1、准备好要扫描的源码/JS/小程序/APP反编译目录

2、双击或在命令行执行以下命令启动工具

```
java -jar DigDeep.jar
```

3、选择文件夹，点开始扫描

4、查看结果、双击预览、导出利用

实测扫小程序、网站源码、JS 文件效果特别稳，很多 SRC 高分漏洞就是靠这种敏感信息泄露挖出来的。

![图片](/media/202605/eedd380fd7594e45aae3c41dfb0409c84962.png)

**适合谁用？**

*   渗透测试工程师
    
*   红队队员
    
*   SRC 漏洞挖掘爱好者
    
*   代码审计 / 安全开发人员
    
*   做源码泄露排查的安全人员

敏感信息提取扫描神器