页面标题

页面副标题

移动应用安全检测报告

TT工具箱 v2.2.1

Android APK 107947c2...

安全评分

安全基线评分

59/100

低风险

综合风险等级

风险等级评定

应用存在一定安全风险，建议优化

漏洞与安全项分布

0 高危

13 中危

1 信息

2 安全

隐私风险评估

第三方跟踪器

隐私安全
未检测到第三方跟踪器

检测结果分布

高危安全漏洞 0

中危安全漏洞 13

安全提示信息 1

已通过安全项 2

重点安全关注 0

中危安全漏洞应用已启用明文网络流量

MANIFEST

[android:usesCleartextTraffic=true]
应用允许明文网络流量（如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等）。API 级别 27 及以下默认启用，28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护，攻击者可窃听或篡改传输数据。建议关闭明文流量，仅使用加密协议。

中危安全漏洞 Activity (com.ttgongju.wxapi.WXEntryActivity) 未受保护。

MANIFEST

[android:exported=true]
检测到  Activity 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Activity (com.ttgongju.wxapi.WXPayEntryActivity) 未受保护。

MANIFEST

[android:exported=true]
检测到  Activity 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Activity (com.alipay.sdk.app.PayResultActivity) 未受保护。

MANIFEST

[android:exported=true]
检测到  Activity 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Activity (com.alipay.sdk.app.AlipayResultActivity) 未受保护。

MANIFEST

[android:exported=true]
检测到  Activity 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Activity (uts.sdk.modules.utsProgressNotification.TransparentActivity) 未受保护。

MANIFEST

[android:exported=true]
检测到  Activity 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞应用程序创建临时文件。敏感信息永远不应该被写进临时文件

CODE

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 25
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 38

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/hjq/permissions/StartActivityManager.java, line(s) 9
uts/sdk/modules/DCloudUniNetwork/RequestNetworkListener.java, line(s) 69

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 27,28,30,55,115
com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,44,44,53
uts/sdk/modules/DCloudUniNetwork/SimpleDownloadCallback.java, line(s) 203
uts/sdk/modules/DCloudUniNetwork/UploadController.java, line(s) 321

中危安全漏洞应用程序使用不安全的随机数生成器

CODE

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/hjq/permissions/PermissionFragment.java, line(s) 15

中危安全漏洞 IP地址泄露

CODE

IP地址泄露


Files:
uts/sdk/modules/DCloudUniGetDeviceInfo/EmulatorCheckUtil.java, line(s) 236

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希

CODE

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/nostra13/dcloudimageloader/cache/disc/naming/Md5FileNameGenerator.java, line(s) 14

中危安全漏洞此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
DCLOUD的 "AD_ID" : "127813300307"
DCLOUD的 "APPID" : "__UNI__233C569"
微信分享的=> "WX_APPID" : "wxad300c14bbdb35e1"
DCLOUD的 "ApplicationId" : "com.ttgongju"
DCLOUD的 "CHANNEL" : "common"
DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "com.ttgongju|__UNI__233C569|127813300307|common"
"dcloud_permissions_reauthorization" : "reauthorize"
15e9cf541b897522e37270b37b2a3c455

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69
androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 46,54,168,198
androidtranscoder/engine/QueuedMuxer.java, line(s) 108,110,118
androidtranscoder/engine/TextureRender.java, line(s) 50,62,63,78,81,99
androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 23
com/bun/miitmdid/core/MdidSdkHelper.java, line(s) 57,63
com/bun/miitmdid/core/Utils.java, line(s) 73,76,36,42,47
com/dmcbig/mediapicker/PreviewActivity.java, line(s) 249
com/permissionx/guolindev/request/InvisibleFragment.java, line(s) 220
com/permissionx/guolindev/request/PermissionBuilder.java, line(s) 309
com/qili/plugin/kuaishou/channel/SdkBridge.java, line(s) 11,13
master/flame/danmaku/danmaku/model/objectpool/FinitePool.java, line(s) 56
tv/cjump/jni/DeviceUtils.java, line(s) 63
tv/cjump/jni/NativeBitmapFactory.java, line(s) 70,123

已通过安全项此应用程序可能具有Root检测功能

CODE

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
uts/sdk/modules/DCloudUniGetDeviceInfo/DeviceUtil.java, line(s) 27,27,27,27,27

已通过安全项此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

TT工具箱 v2.2.1

Android APK

综合安全评分

中风险

导航菜单

页面标题

移动应用安全检测报告

TT工具箱 v2.2.1

安全基线评分

59/100

综合风险等级

风险等级评定

漏洞与安全项分布

隐私风险评估

第三方跟踪器

检测结果分布

中危安全漏洞 应用已启用明文网络流量

中危安全漏洞 Activity (com.ttgongju.wxapi.WXEntryActivity) 未受保护。

中危安全漏洞 Activity (com.ttgongju.wxapi.WXPayEntryActivity) 未受保护。

中危安全漏洞 Activity (com.alipay.sdk.app.PayResultActivity) 未受保护。

中危安全漏洞 Activity (com.alipay.sdk.app.AlipayResultActivity) 未受保护。

中危安全漏洞 Activity (uts.sdk.modules.utsProgressNotification.TransparentActivity) 未受保护。

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危安全漏洞 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞 应用程序使用不安全的随机数生成器

中危安全漏洞 IP地址泄露

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希

中危安全漏洞 此应用可能包含硬编码机密信息

安全提示信息 应用程序记录日志信息,不得记录敏感信息

已通过安全项 此应用程序可能具有Root检测功能

已通过安全项 此应用程序没有隐私跟踪程序

综合安全基线评分总结

TT工具箱 v2.2.1

中危安全漏洞应用已启用明文网络流量

中危安全漏洞应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞应用程序使用不安全的随机数生成器

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息

已通过安全项此应用程序可能具有Root检测功能

已通过安全项此应用程序没有隐私跟踪程序