应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
快勃 v1.0.3
50
安全评分
安全基线评分
50/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
4
高危
20
中危
1
信息
3
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
4
中危安全漏洞
20
安全提示信息
1
已通过安全项
3
重点安全关注
3
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/caoliu/lib_common/Cconst.java, line(s) 68,103,13,14,15,16,17,18 com/caoliu/lib_common/CdnUtils.java, line(s) 292,25,26,27,28,29,30 com/caoliu/module_main/square/detail/DynamicDetailActivity$setNormalUi$4.java, line(s) 58,17,18,19
高危安全漏洞 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: l/Cdo.java, line(s) 16 m/Cdo.java, line(s) 15
高危安全漏洞 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: p033throws/Cdo.java, line(s) 133
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Service (com.defrhhty.ftghyu.CompressAndUpdateService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityWx) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityYx) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityZh) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityXhs) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityWb) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityDy) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityKs) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityDzdp) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.NewActivityTc) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.defrhhty.ftghyu.DefaultAlias) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/caoliu/lib_common/widget/SwipeCaptchaView.java, line(s) 26 p6/Cdo.java, line(s) 3 s0/Cimplements.java, line(s) 9 t1/Cprivate.java, line(s) 4,145,146
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: k2/Celse.java, line(s) 6,7,74,75,171 k2/Cif.java, line(s) 6,80,81 u0/Cfor.java, line(s) 6,43 u0/Cif.java, line(s) 6,7,30
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/caoliu/module_main/Celse.java, line(s) 89 com/lxj/xpopup/util/Cclass.java, line(s) 41,64 com/zxy/recovery/tools/Cfor.java, line(s) 82 g0/Cnew.java, line(s) 18 s/Ccase.java, line(s) 156,150 s/Cthis.java, line(s) 35,99
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/just/agentweb/AgentWeb.java, line(s) 151,131 es/dmoral/markdownview/MarkdownView.java, line(s) 61,60
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/opensource/svgaplayer/SVGACache.java, line(s) 37 p024static/Cdo.java, line(s) 119 p026static/Cdo.java, line(s) 117
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/just/agentweb/AgentWeb.java, line(s) 193,131
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/caoliu/lib_common/entity/DatasDictionaryRequest.java, line(s) 48 com/caoliu/lib_utils/event/BaoScrollEvent.java, line(s) 48
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" GcgzsKdDZTumABNz7uujrCfPIk9TQ355 ab677a736f1605f3131b7c5c43ada799 4c053e1ca87d459ea9d19b73d7297a0f
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/Celse.java, line(s) 584 a/Cfinal.java, line(s) 74,75 a/Cimport.java, line(s) 150,117,147,175,189,118,176,192 a4/Cif.java, line(s) 52 app/a/module_ai/Celse.java, line(s) 444,504 b4/Cif.java, line(s) 153,47,43 com/caoliu/lib_common/Cbreak.java, line(s) 44,54 com/caoliu/lib_common/Cconst.java, line(s) 77,112 com/caoliu/lib_common/CdnUtils.java, line(s) 301 com/caoliu/lib_common/dialog/SeekVerifyDialog.java, line(s) 77,86 com/caoliu/lib_common/widget/Cif.java, line(s) 17 com/caoliu/lib_common/widget/SwipeCaptchaView.java, line(s) 125,149,150 com/caoliu/lib_jzvideo/ijk/JZMediaNoVoiceExo.java, line(s) 171,276,287,312,362,389,441,447 com/caoliu/module_main/square/detail/DynamicDetailActivity$setNormalUi$4.java, line(s) 67 com/caoliu/module_main/view/RangeSeekBar.java, line(s) 247,365,430 com/cjt2325/cameralibrary/CaptureButton.java, line(s) 129,134 com/davemorrissey/labs/subscaleview/SubsamplingScaleImageView.java, line(s) 645,213,217,393,397,465,803,808,819,828,1538,1747,2076 com/davemorrissey/labs/subscaleview/decoder/SkiaPooledImageRegionDecoder.java, line(s) 123 com/drake/brv/BindingAdapter.java, line(s) 451 com/just/agentweb/AgentWebView.java, line(s) 38,126 com/lxj/xpopup/util/Ccase.java, line(s) 77 com/lxj/xpopup/util/KeyboardUtils.java, line(s) 54 com/lxj/xpopup/util/XPermission.java, line(s) 97 com/lxj/xpopup/widget/SmartDivider.java, line(s) 29 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 313,383 com/wang/avi/AVLoadingIndicatorView.java, line(s) 306 com/yalantis/ucrop/UCropActivity.java, line(s) 392 com/yalantis/ucrop/view/TransformImageView.java, line(s) 143,182,225 d/Cgoto.java, line(s) 58,110,111,59 f7/Cnew.java, line(s) 37 g0/Cdo.java, line(s) 45,49,60,64,96,118 h/Cdo.java, line(s) 37,40 i7/Ccase.java, line(s) 10,15 j4/Cdo.java, line(s) 170 l2/Cthrow.java, line(s) 71,64,83,17 l4/Ccase.java, line(s) 91,92,93,97,49 m0/Cif.java, line(s) 180 n5/Cif.java, line(s) 44,108,114,123,130,145 o5/Cfor.java, line(s) 83,87,96,116,138,168,181,187,44,80,86,89,95,113,135,148,163,177,180,183,186,189 p000abstract/Cbreak.java, line(s) 96,81 p000abstract/Ctry.java, line(s) 38,69,101,120,130,70,121,39,102,133 p006continue/Cdo.java, line(s) 109,108 p007default/Cdo.java, line(s) 305 p009extends/Cnew.java, line(s) 195,225,192,224 p009extends/Ctry.java, line(s) 141,161,178,140,160,177 p010extends/Cnew.java, line(s) 195,225,192,224 p010extends/Ctry.java, line(s) 608,628,645,607,627,644 p011finally/Cdo.java, line(s) 91,90 p012finally/Cdo.java, line(s) 93,92 p015instanceof/Cdo.java, line(s) 78,116,123,130,86,119,126,133 p015instanceof/Cfor.java, line(s) 27,28 p015instanceof/Cgoto.java, line(s) 54,55 p016interface/Cdo.java, line(s) 79,90 p017instanceof/Cdo.java, line(s) 78,116,123,130,86,119,126,133 p017instanceof/Cfor.java, line(s) 27,28 p017instanceof/Cgoto.java, line(s) 54,55 p018interface/Cdo.java, line(s) 79,90 p020private/Cif.java, line(s) 107,106 p022private/Cif.java, line(s) 127,167,212,126,166,211 p025strictfp/Ccase.java, line(s) 87,86 p025strictfp/Cfor.java, line(s) 19,18 p025strictfp/Cnative.java, line(s) 111,112 p025strictfp/Cnew.java, line(s) 50,49 p025strictfp/Cpublic.java, line(s) 43,42 p026super/Cif.java, line(s) 17 p027strictfp/Ccase.java, line(s) 87,86 p027strictfp/Cfor.java, line(s) 19,18 p027strictfp/Cnative.java, line(s) 111,112 p027strictfp/Cnew.java, line(s) 50,49 p027strictfp/Cpublic.java, line(s) 43,42 p028super/Cif.java, line(s) 17 p031throws/Cdo.java, line(s) 51 p033throws/Cdo.java, line(s) 123,153,167,186,62,114,131,158,177 p4/Cif.java, line(s) 83,101,102,124,125 q4/Cif.java, line(s) 28,13 s/Cgoto.java, line(s) 56,104 s3/Cdo.java, line(s) 16 top/zibin/luban/Celse.java, line(s) 112,109 top/zibin/luban/Checker.java, line(s) 147,161,189,197,201
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/caoliu/lib_common/manager/Ctry.java, line(s) 14,13,12,12 e7/Celse.java, line(s) 68,67,66,66 e7/Cfor.java, line(s) 69,68,67 e7/Cgoto.java, line(s) 109,97,108,107,107 e7/Cnew.java, line(s) 99,89,98,105,97,97
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/caoliu/lib_common/manager/BaseRetrofit.java, line(s) 65
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ikb66.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (s3.ap-east-1.amazonaws.com) 通信。
{'ip': '52.95.161.69', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (52kbhl.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
综合安全基线评分总结
快勃 v1.0.3
Android APK
50
综合安全评分
中风险