安全分析报告:
安全分数
安全分数 47/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
4
中危
19
信息
2
安全
2
关注
4
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: p001/p002/p003/p004/p006/C0018.java, line(s) 9 p001/p002/p003/p004/p006/C0061.java, line(s) 9
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: cc/openshare/sdk/opensharesdk/BuildConfig.java, line(s) 3,5
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: org/cocos2dx/javascript/H5PayDemoActivity.java, line(s) 97,10,11
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (org.cocos2d.helloworld.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (cn.jpush.android.service.DaemonService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (cn.jpush.android.service.DownloadProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(cn.jpush.android.service.JNotifyActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (1000) - {1} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 IP地址泄露
IP地址泄露 Files: com/lahm/library/EmulatorCheckUtil.java, line(s) 24 com/lahm/library/SecurityCheckUtil.java, line(s) 117 com/lahm/library/VirtualApkCheckUtil.java, line(s) 48,194 com/xiongmao/security/xiongmao/android/sdk/XiongMaoUtil.java, line(s) 57 com/xiongmao/security/xiongmao/android/sdk/traceroute/XMNetTraceRoute.java, line(s) 27 com/xiongmao/security/xiongmao/android/sdk/traceroute/e.java, line(s) 129,149,165
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/lzy/okgo/cache/CacheEntity.java, line(s) 13,85 com/lzy/okgo/exception/CacheException.java, line(s) 15,11 com/uuzuche/lib_zxing/decoding/Intents.java, line(s) 50
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/lzy/okgo/convert/FileConvert.java, line(s) 26,48 org/cocos2dx/javascript/AppActivity.java, line(s) 1350,1358,1377 org/cocos2dx/javascript/utils/FileUtils.java, line(s) 30,548 org/cocos2dx/javascript/utils/PictureDownUtil.java, line(s) 69,73 org/cocos2dx/javascript/utils/Utils.java, line(s) 508,506,517 org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 164 skin/support/utils/SkinFileUtils.java, line(s) 11
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cc/openshare/sdk/opensharesdk/Md5Utils.java, line(s) 17 org/cocos2dx/javascript/utils/Utils.java, line(s) 61
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: cc/openshare/sdk/opensharesdk/OpenShareCore.java, line(s) 17 com/lahm/library/VirtualApkCheckUtil.java, line(s) 27 com/xiongmao/security/xiongmao/android/sdk/XiongMao.java, line(s) 16
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/lzy/okgo/db/DBHelper.java, line(s) 4,5,40,41,42,43,54,57,60,63 com/lzy/okgo/db/DBUtils.java, line(s) 4,75,76,16,55 org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 5,6,50,73,96
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: org/cocos2dx/javascript/kefu/X5WebView.java, line(s) 33,31 org/cocos2dx/javascript/views/X5WebView.java, line(s) 53,51 org/cocos2dx/lib/Cocos2dxWebView.java, line(s) 113,111
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 openinstall统计的=> "com.openinstall.APP_KEY" : "default" OpenShareInstall的=> "com.OpenShareInstall.APP_KEY" : "pFNMMNnk83Zrcn3" 极光推送的=> "JPUSH_CHANNEL" : "developer-default" 极光推送的=> "JPUSH_APPKEY" : "78ba07af339b8015ef3e5b7b" QQ授权的=> "QQ_ID" : ""102023729"" OpenShareInstall的=> "cc.openshare.APPID" : "pFNMMNnk83Zrcn3"
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cc/openshare/sdk/opensharesdk/JsonHelper.java, line(s) 142,151,168,179,188,199 cc/openshare/sdk/opensharesdk/KLog.java, line(s) 114,130,123,117,111,83,120,126,151,157,161 cc/openshare/sdk/opensharesdk/OpenShare.java, line(s) 202,196 cc/openshare/sdk/opensharesdk/OpenShareCore.java, line(s) 172,174 com/lahm/library/VirtualApkCheckUtil.java, line(s) 64,70 com/lzy/okgo/utils/OkLogger.java, line(s) 15,34,44,61,71 com/uuzuche/lib_zxing/activity/CaptureActivity.java, line(s) 50 com/uuzuche/lib_zxing/camera/AutoFocusCallback.java, line(s) 16 com/uuzuche/lib_zxing/camera/CameraConfigurationManager.java, line(s) 103,184,187,197,206,195,87,139,150 com/uuzuche/lib_zxing/camera/FlashlightManager.java, line(s) 23,70,79,85,96,107 com/uuzuche/lib_zxing/camera/PreviewCallback.java, line(s) 27 com/uuzuche/lib_zxing/decoding/CaptureActivityHandler.java, line(s) 59,64,76,80 com/uuzuche/lib_zxing/decoding/DecodeHandler.java, line(s) 53 org/App.java, line(s) 29,34,37 org/cocos2d/helloworld/wxapi/WXEntryActivity.java, line(s) 31,43,49,60,87,99,103,106,21,22,28 org/cocos2dx/javascript/AppActivity.java, line(s) 1579,1580,173,287,292,297,316,322,344,400,402,412,414,422,426,428,476,499,542,543,572,576,601,609,626,630,655,663,808,816,871,879,884,888,892,1026,1056,1085,1086,1130,1134,1150,1151,1152,1153,1190,1215,1257,1283,1284,1358,1425,1440,1444,1479,1484,1515,1567,1568,1570,1571,1594,1600,1614,1615,1616,1617,1695,1845,1847,1853,1858,1902,1905,1957,1962,1968,1973,1975,1980,1985,1986,1987,1995,2001,2007,2009,2012,2019,2020,2021,2036,2043,2045,2050,2055,2056,2057,2073,2103,2118,2125,2128,2132,2138,2148,2154,2159,2172,2193,2205,2220,2264,2267,2269,2273,2287,2306,2318,2376,2450,2459,2511,681,730,981,988,1454,1465,1529,1530,1534,1633,1634,1642,1653,1654,1662,1692,1697,1707,1722,1730,1736,1752,1765,1882,2337,2341,2400,1015,1281,2168 org/cocos2dx/javascript/UpLoadImgUtils.java, line(s) 93,98,107,114,119,131,134,137,142,150,162,165,168,174,182 org/cocos2dx/javascript/WXEntryActivity.java, line(s) 102,124,125,174,250,259,268,286,98,138,141,144,161,163,183,185,234,235,236,173 org/cocos2dx/javascript/WebGameActivity.java, line(s) 214,83,114,194,195,196,233,240,259,73,291,320,326 org/cocos2dx/javascript/helper/SystemProperties.java, line(s) 19,23,47 org/cocos2dx/javascript/helper/jg/MyJPushMessageReceiver.java, line(s) 15,20,25,30,35,40,45,50 org/cocos2dx/javascript/helper/jg/MyReceiver.java, line(s) 62,50,40 org/cocos2dx/javascript/kefu/CustomerWebViewHelper.java, line(s) 119,138,178,82,106,212,228,231 org/cocos2dx/javascript/kefu/notchtools/helper/SystemProperties.java, line(s) 19,23,47 org/cocos2dx/javascript/kefu/notchtools/phone/HuaWeiNotchScreen.java, line(s) 116,120,123,38,42,60,64 org/cocos2dx/javascript/phone/HuaWeiNotchScreen.java, line(s) 116,120,123,38,42,60,64 org/cocos2dx/javascript/utils/FileUtils.java, line(s) 77,537,553,540 org/cocos2dx/javascript/utils/KLog.java, line(s) 114,130,123,117,111,83,120,126,151,157,161 org/cocos2dx/javascript/utils/MQTTManager.java, line(s) 120,209,38,44,53,62,71,101,102,103,104,105,158,163,169,174,211,224,229 org/cocos2dx/javascript/utils/PictureDownUtil.java, line(s) 54 org/cocos2dx/javascript/utils/SoundPoolUtil.java, line(s) 58 org/cocos2dx/javascript/utils/Utils.java, line(s) 517,546 org/cocos2dx/lib/CanvasRenderingContext2DImpl.java, line(s) 85,175 org/cocos2dx/lib/Cocos2dxActivity.java, line(s) 310,312,317,376,420,436,448,460,134,244,294,344,157,381 org/cocos2dx/lib/Cocos2dxAudioFocusManager.java, line(s) 17,19,27,35,46,63,72,66,74 org/cocos2dx/lib/Cocos2dxEditBox.java, line(s) 126,146 org/cocos2dx/lib/Cocos2dxGLSurfaceView.java, line(s) 62 org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 313,322,326,257,259,263 org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 121,134,148,178,201,265,299,315,342,354,330 org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 56,29 org/cocos2dx/lib/Cocos2dxReflectionHelper.java, line(s) 20,28,31,39,57,65,75,83 org/cocos2dx/lib/Cocos2dxVideoHelper.java, line(s) 286 org/cocos2dx/lib/Cocos2dxVideoView.java, line(s) 132,220,229 org/cocos2dx/lib/Cocos2dxWebView.java, line(s) 84,92,118,56,61 org/cocos2dx/lib/SoftKeyBoardListener.java, line(s) 38 org/cocos2dx/lib/Utils.java, line(s) 21 p001/p002/p003/p004/p006/C0023.java, line(s) 10 p001/p002/p003/p004/p006/C0066.java, line(s) 10 skin/support/content/res/SkinCompatDrawableManager.java, line(s) 71,109,358 skin/support/utils/Slog.java, line(s) 11,17,22,26 timber/log/Timber.java, line(s) 211,229
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: org/cocos2dx/javascript/kefu/CustomerWebViewHelper.java, line(s) 7,167 org/cocos2dx/javascript/utils/Utils.java, line(s) 6,141 org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 6,121 p001/p002/p003/p004/p005/C0015.java, line(s) 4,50 p001/p002/p003/p004/p005/C0058.java, line(s) 4,50
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/lzy/okgo/https/HttpsUtils.java, line(s) 138,87,104,137,125,136,136 org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 338,336,338,334,335,335
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/lahm/library/SecurityCheckUtil.java, line(s) 50,50,50,50,50 com/xiongmao/security/xiongmao/android/sdk/umid/c.java, line(s) 7,7,7,7,7,7 org/cocos2dx/javascript/AppActivity.java, line(s) 999
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.sharetrace.com) 通信。
{'ip': '119.23.108.136', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sina.cn) 通信。
{'ip': '106.63.15.112', 'country_short': 'CN', 'country_long': '中国', 'region': '云南', 'city': '昆明', 'latitude': '25.038891', 'longitude': '102.718330'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.163.com) 通信。
{'ip': '119.23.108.136', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.taobao.com) 通信。
{'ip': '119.23.108.136', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}