页面标题
页面副标题
移动应用安全检测报告
蕾丝视频 v8.0.16
38
安全评分
安全基线评分
38/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在较高安全风险,需要重点关注
漏洞与安全项分布
5
高危
10
中危
1
信息
1
安全
隐私风险评估
1
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
5
中危安全漏洞
10
安全提示信息
1
已通过安全项
1
重点安全关注
11
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 Activity (com.qk354fdsceq.qk354fdsceq.MainActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/nimbusds/jose/crypto/AESCBC.java, line(s) 30 com/nimbusds/jose/jca/JCASupport.java, line(s) 154
高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/duck/Connect.java, line(s) 229,38,39,40,41,42,43,44
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/reactnativecommunity/webview/RNCWebViewManager.java, line(s) 401,26,27
中危安全漏洞 Broadcast Receiver (com.learnium.RNDeviceInfo.RNDeviceReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/microsoft/codepush/react/CodePushConstants.java, line(s) 5,31,7,19,28,20,12,18,26,27,21,22,25,29,23 com/microsoft/codepush/react/CodePushTelemetryManager.java, line(s) 13,18,22,15,17,19,20,21 com/qk354fdsceq/qk354fdsceq/BuildConfig.java, line(s) 19,14,4,6 com/reactnative/ivpusic/imagepicker/PickerModule.java, line(s) 56 com/yxmaadddf21/yxmaadddf21/BuildConfig.java, line(s) 16,11
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/RNFetchBlob/RNFetchBlobFS.java, line(s) 177,199,169,170,171,172,173,174,175,176,189,190,197,630 com/RNFetchBlob/Utils/PathResolver.java, line(s) 30 com/kiwi/sdk/Kiwi.java, line(s) 56 com/learnium/RNDeviceInfo/RNDeviceModule.java, line(s) 368 com/qk354fdsceq/qk354fdsceq/DataCleanManager.java, line(s) 29 com/reactnative/ivpusic/imagepicker/Compression.java, line(s) 56 com/reactnative/ivpusic/imagepicker/PickerModule.java, line(s) 690,701 com/reactnative/ivpusic/imagepicker/RealPathUtil.java, line(s) 32 com/reactnativecommunity/webview/RNCWebViewModule.java, line(s) 338,336 com/rnfs/RNFSManager.java, line(s) 930,836,919,921,924 com/yalantis/ucrop/util/FileUtils.java, line(s) 53
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/reactnativecommunity/asyncstorage/ReactDatabaseSupplier.java, line(s) 4,5,6,43 org/pgsqlite/SQLitePlugin.java, line(s) 6,7,8,247,248,413
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/reactnative/ivpusic/imagepicker/PickerModule.java, line(s) 694,705 com/reactnativecommunity/webview/RNCWebViewModule.java, line(s) 338 fr/greweb/reactnativeviewshot/RNViewShotModule.java, line(s) 155
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/nimbusds/jose/jwk/Curve.java, line(s) 18,19,20
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/nimbusds/jose/crypto/RSA_OAEP.java, line(s) 18,30
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/RNFetchBlob/RNFetchBlobUtils.java, line(s) 23
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "ADMIN_USERNAME" : "admin" "ADMIN_PASSWORD" : "45&XRvtqYCKLDa3Dd$" 5f23a95bb4b08b653e8ffeb3 27580193559959705877849011840389048093056905856361568521428707301988689241309860865136260764883745107765439761230575 N7IfoPOppDiXhH8dpj3HBfnQEmgn4ksvOXqog 39402006196394479212279040100143613805079739270465446667946905279627659399113263569398956308152294913554433653942643 6864797660130609714981900799081393217269435300143305409394463459185543183397655394245057746333217197532963996371363321113864768612440380340372808892707005449 1093849038073734274511112390766805569936207598951683748994586394495953116150735016013708737573759623248592132296706313309438452531591012912142327488478985984 41058363725152142129326129780047268409114441015993725554835256314039467401291 48439561293906451759052585252797914202762949526041747995844080717082404635286 3757180025770020463545507224491183603594455134769762486694567779615544477440556316691234405012945539562144444537289428522585666729196580810124344277578376784 36134250956749795798585127919587881956611106672985015071877198253568414405109 115792089210356248762697446949407573529996955224135760342422259061068512044369 26247035095799689268623156744566981891852923491109213387815615900925518854738050089022388053975719786650872476732087 5fd345d8dd289153391a9762 39402006196394479212279040100143613805079739270465446667948293404245721771496870329047266088258938001861606973112319 1d0ThjHUFPoRDOpgAfGKvLDW9Ka 6864797660130609714981900799081393217269435300143305409394463459185543183397656052122559640661454554977296311391480858037121987999716643812574028291115057151 8325710961489029985546751289520108179287853048861315594709205902480503199884419224438643760392947333078086511627871 39402006196394479212279040100143613805079739270465446667948293404245721771496870329047266088258938001861606973112316 G0UPkIXetDcnCfN89wTgE3YKipL44ksvOXqog 2661740802050217063228768716723360960729859168756973147706671368418802944996427808491545080627771902352094241225065558662157113545570916814161637315895999846 6864797660130609714981900799081393217269435300143305409394463459185543183397656052122559640661454554977296311391480858037121987999716643812574028291115057148 115792089210356248762697446949407573530086143415290314195533631308867097853948 pk3yYMdJIS45TuO8SjM7Gx7WjB2Q 115792089210356248762697446949407573530086143415290314195533631308867097853951
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/AES.java, line(s) 23 com/C0020.java, line(s) 59 com/C0039.java, line(s) 59 com/DialogInterfaceOnClickListenerC0019.java, line(s) 19 com/DialogInterfaceOnClickListenerC0038.java, line(s) 19 com/RNFetchBlob/RNFetchBlobReq.java, line(s) 353 com/a.java, line(s) 12,19 com/b.java, line(s) 51,56,553 com/brentvatne/exoplayer/ReactExoplayerView.java, line(s) 557 com/duck/Connect.java, line(s) 69,76,206,213,232,251,272,284,336,348,418,441,470,486,506 com/horcrux/svg/Brush.java, line(s) 141,151 com/horcrux/svg/ClipPathView.java, line(s) 36 com/horcrux/svg/ImageView.java, line(s) 143 com/horcrux/svg/LinearGradientView.java, line(s) 79 com/horcrux/svg/MaskView.java, line(s) 83 com/horcrux/svg/PatternView.java, line(s) 90 com/horcrux/svg/RadialGradientView.java, line(s) 93 com/horcrux/svg/UseView.java, line(s) 59,90,105 com/horcrux/svg/VirtualView.java, line(s) 375,306,340,344 com/kiwi/sdk/Kiwi.java, line(s) 39,63,97 com/learnium/RNDeviceInfo/RNDeviceModule.java, line(s) 213,294,511,546,637,822,901 com/learnium/RNDeviceInfo/RNInstallReferrerClient.java, line(s) 16,22,27,44,37,56,65 com/learnium/RNDeviceInfo/resolver/DeviceIdResolver.java, line(s) 21,24,25,29 com/lugg/ReactNativeConfig/ReactNativeConfigModule.java, line(s) 36,40 com/microsoft/codepush/react/CodePushUtils.java, line(s) 211,215 com/qk354fdsceq/qk354fdsceq/ToastLL.java, line(s) 47,95,101,103,116,120,126 com/reactnative/ivpusic/imagepicker/Compression.java, line(s) 58,85,88,90 com/reactnative/ivpusic/imagepicker/ResultCollector.java, line(s) 66,74,39,45 com/reactnativecommunity/asyncstorage/AsyncStorageModule.java, line(s) 150,191,205,219,237,242,247,284,289,309,339,353,367,381,392,397,413,432,463 com/reactnativecommunity/asyncstorage/ReactDatabaseSupplier.java, line(s) 90,93 com/reactnativecommunity/cameraroll/CameraRollModule.java, line(s) 381,391,426,440,478 com/reactnativecommunity/viewpager/ReactViewPager.java, line(s) 150,163 com/reactnativecommunity/webview/RNCWebViewManager.java, line(s) 159 com/reactnativecommunity/webview/RNCWebViewModule.java, line(s) 307 com/swmansion/gesturehandler/react/RNGestureHandlerRootHelper.java, line(s) 37,49 com/swmansion/gesturehandler/react/RNGestureHandlerRootView.java, line(s) 37 com/swmansion/reanimated/nodes/DebugNode.java, line(s) 21 com/yalantis/ucrop/UCropActivity.java, line(s) 166 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 115 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 120,149,194,84,87,126,135,142 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 106,54,85 com/yalantis/ucrop/util/EglUtils.java, line(s) 28 com/yalantis/ucrop/util/FileUtils.java, line(s) 61 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 54,61,72,80,112,122,134,148,162,168,172,177,183,187,289,53,60,71,79,111,121,133,147,161,167,171,176,182,186 com/yalantis/ucrop/view/TransformImageView.java, line(s) 219,236,127,81 com/yxmaadddf21/yxmaadddf21/ToastLL.java, line(s) 47,95,101,103,116,120,126 fr/greweb/reactnativeviewshot/DebugViews.java, line(s) 28 fr/greweb/reactnativeviewshot/RNViewShotModule.java, line(s) 138,97 fr/greweb/reactnativeviewshot/ViewShot.java, line(s) 110,131 org/pgsqlite/SQLitePlugin.java, line(s) 151,156,212,231,303,338,429,487,516,539,546,553,560,492,256,275 org/wonday/orientation/OrientationModule.java, line(s) 45,70,73,81,256,270,246,265,279
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/RNFetchBlob/RNFetchBlobReq.java, line(s) 338,337,344,336,336
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (gefhdjklmoq.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lwe5.lmlckshdqn.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yxyxsp.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yxsp1.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yinxingsp.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yxsp2.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (gyuilmnvdsf.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ewgabrielaconstantine.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (8ryp.lqsyxmfktw.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.jklkjkhffsafaqm.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cjuoo.hliowrfsg.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
综合安全基线评分总结
蕾丝视频 v8.0.16
Android APK
38
综合安全评分
高风险