文章总结： LeakDetector是一款专为红队渗透测试设计的自动化敏感信息搜集工具，通过Bing搜索引擎语法结合Playwright浏览器自动化技术，可高效发现互联网上因配置不当或漏洞暴露的敏感文件。工具具备六层探测体系、智能抗反爬机制和深度内容分析引擎，支持多线程并发处理及可视化关键词管理，能自动生成风险评估报告并下载原始文件供取证。 综合评分： 85 文章分类： 渗透测试,红队,安全工具,漏洞分析,数据安全

LeakDetector：一款自动化敏感信息搜集工具

原创

网安工具库 网安工具库

网安工具库

2026年5月12日 23:43 湖南

在小说阅读器读本章

去阅读

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·能帮你做各种类型题目CTF的Ai自动化测试工具

·安全研究与渗透测试一体化安全评估工具–HackingTool

·docx pdf zip等文件密码快速爆破工具：AutoHashCrackerGUI

·xia_tan：基于BurpSuite的自动化漏洞探测插件

·科来抓包：企业级小白可用的流量分析工具

·网安人的五一活动-集赞免费领六大付费工具！

介绍

    LeakDetector 是一款专为红队渗透测试人员和安全研究员设计的自动化信息泄露侦察工具。它基于 Bing 搜索引擎的高级语法（Dork），结合 Playwright 浏览器自动化技术，能够高效、精准地发现互联网上由于配置不当、运维疏忽或系统漏洞而暴露的敏感信息。

    与传统脚本不同，LeakDetector 引入了智能抗反爬机制和深度内容分析引擎，支持从数千个结果中自动筛选出高价值的敏感文件（如 Excel 通讯录、身份证名单、API 密钥配置等），并自动生成可视化的审计报告。

工具获取

工具获取链接：

https://github.com/cbbzx12/LeakDetector/releases

可以直接下载.exe文件，点击即用，也有Linux版本，根据需要下载，这里讲解Windows版本

点击.exe文件即可启动工具：

功能

核心特征：

一、多维度探测体系

工具采用六层渐进式侦察策略，覆盖从基础架构到核心数据的多个层面：

1.配置与接口暴露检测：自动识别 Swagger UI、Spring Boot Actuator、环境配置文件等敏感资源2.敏感文档定位：针对 Excel、Word、PDF 等办公文档，智能匹配身份证号、联系方式、薪资表等关键信息3.业务系统识别：快速发现 OA 平台（如泛微、致远）、管理后台以及 Jenkins、GitLab 等运维系统入口4.漏洞特征扫描：检测 SQL 注入错误页面、文件上传点、Webshell 后门等风险特征

二、浏览器化采集引擎

集成 Playwright 框架，解决传统爬虫的常见痛点：

1.验证码处理机制：自动检测 Bing 等搜索引擎的人机验证，支持在可视界面中暂停并提示用户手动完成验证，有效应对 IP 限制2.动态内容渲染：完整执行页面 JavaScript 逻辑，获取比普通 HTTP 请求更丰富的数据

三、内容深度解析能力

工具不仅收集链接，还具备文件内容的深度理解能力：

1.文档解析模块：自动下载并读取 Excel、CSV、PDF 等格式文件（支持多工作表处理）2.敏感信息抽取：内置身份证、手机号、邮箱、学号等正则表达式，自动提取个人可识别信息（PII）3.风险量化评估：基于泄露数据的类型和数量，自动计算风险等级并通过颜色标识

四、并发处理架构

1.线程池管理：支持 10 至 50 个线程同时工作2.流水线作业：搜索和分析线程分离，实现边采集边处理，缩短整体执行时间

五、可视化关键词管理

1.图形化配置界面：无需手动编辑文件，通过界面完成敏感词管理2.分类体系：内置敏感入口、教育数据、商业机密、个人隐私、调试信息、凭证 Token 六大类别3.灵活扩展：支持新建分类、增删改查关键词，配置自动保存至 keywords.json4.一键复位：提供恢复默认设置的功能

六、数据后处理能力

1.遗漏补抓：扫描完成后自动检测未下载的文件链接并补充采集2.多格式解析：同时处理 Excel、CSV、PDF、HTML 等多种文件类型3.去重归类：自动合并重复数据，按敏感信息类别分类汇总4.噪声过滤：自动筛除超长文本列，保留有价值的数据

上手操作演示：

    1.支持自动化扫描，并且能展示分析结果：

    2.如果代理不成功的话，可以选择浏览器模式，手动绕开代理，直接在浏览器扫描：

    然后点击开始扫描后，可以看到弹出一个chrome浏览器，并且扫描信息会显示在下面的运行日志中：

    可以在搜索框中修改想要扫描的内容，然后在运行日志中可以看到工具开始对新输入的信息进行扫描。

    3.可视化关键词管理，支持自定义敏感信息检测规则：

    4.扫描结果保存在 results/Scan_YYYYMMDD_HHMMSS/ 目录下：

·信息泄露扫描报告_xxx.xlsx: 核心产出物。  汇总详情页: 包含所有发现的高危条目，按风险评分排序。  扫描概览页: 各类风险的数量统计、高危域名 Top20 分布。  风险评分: 红色背景为极高危（身份证/密码），黄色为中危（邮箱/手机）。·下载的文件: 扫描过程中自动下载的 .xlsx, .pdf 等原始文件会保存在对应文件夹中，供人工取证。

配置文件说明 (config.json)

工具首次运行后会在同级目录生成 config.json，可修改高级选项：

{    "proxy_enabled": true,            // 是否默认启用代理    "proxy_url": "127.0.0.1:7890",    // 代理地址 (HTTP/Socks5)    "use_browser": false,             // 默认是否开启浏览器模式    "max_threads": 10,                // 扫描并发线程数 (建议 5-20)    "time_range": "不限时间",          // 默认时间过滤 (过去24h/1周/1月等)    "auto_organize": false            // 扫描结束后是否自动整理结果文件夹}

关键词配置 (keywords.json)

工具支持自定义敏感信息检测关键词,配置文件在首次使用”关键词管理”功能后自动生成:

{  "敏感入口/系统": ["后台", "管理系统", "登录", "Admin", ...],  "教育敏感数据": ["学号", "录取", "成绩单", ...],  "企业商业机密": ["合同", "薪资", "工资", ...],  "个人隐私数据": ["身份证", "手机号", "通讯录", ...],  "报错/调试信息": ["SQL syntax", "Fatal error", ...],  "敏感凭证/Token": ["api_key", "access_token", ...]}

交流群

我们创建了交流群，一起来交流吧！！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安工具库 网安工具库 网安工具库《LeakDetector：一款自动化敏感信息搜集工具》