安全分析报告:
安全分数
安全分数 49/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
3
中危
11
信息
2
安全
2
关注
5
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/meiqia/core/a/a.java, line(s) 59,102
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/krt/ysh/app/utils/wx/Util.java, line(s) 142,21,22,23
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/krt/ysh/mvp/ui/activity/home/ShopDetailActivity.java, line(s) 323,354,11,12
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.krt.ysh.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/krt/ysh/app/utils/MyMD5Utils.java, line(s) 28,12 com/krt/ysh/app/utils/wx/MD5.java, line(s) 13 com/krt/ysh/app/utils/wx/MD5Util.java, line(s) 35 com/meiqia/core/a/d.java, line(s) 21 com/nostra13/universalimageloader/cache/disc/naming/Md5FileNameGenerator.java, line(s) 19
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/github/mikephil/charting/charts/Chart.java, line(s) 726,741 com/github/mikephil/charting/utils/FileUtils.java, line(s) 22,117 com/krt/ysh/app/utils/FileUtils.java, line(s) 34,54,59,66,72 com/krt/ysh/mvp/presenter/VersionPresenter.java, line(s) 78 com/meiqia/core/a/e.java, line(s) 60,213 com/meiqia/core/a/k.java, line(s) 58,180 com/meiqia/core/d.java, line(s) 1185,1197 com/nostra13/universalimageloader/utils/StorageUtils.java, line(s) 22,48,48,53,53,58 com/orhanobut/logger/CsvFormatStrategy.java, line(s) 100 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 126
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/krt/ysh/app/utils/wx/WxUtils.java, line(s) 20 com/meiqia/core/MeiQiaService.java, line(s) 34
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/krt/ysh/app/utils/AccountsUtils.java, line(s) 8,6,9,10,11,15,14,4,13 com/krt/ysh/app/utils/ThreeConstant.java, line(s) 5 com/krt/ysh/app/widget/VerificationCodeInput.java, line(s) 23 com/krt/ysh/mvp/ui/activity/MainActivity.java, line(s) 57 com/krt/ysh/mvp/ui/activity/firmorder/FirmOrderActivity.java, line(s) 23 com/krt/ysh/mvp/ui/activity/firmorder/FirmSaleActivity.java, line(s) 20 com/krt/ysh/mvp/ui/activity/me/CounponActivity.java, line(s) 22 com/krt/ysh/mvp/ui/activity/order/OrderActivity.java, line(s) 22 com/krt/ysh/mvp/ui/activity/order/ReturnSaleActivity.java, line(s) 22 com/krt/ysh/mvp/ui/fragment/MyFragment.java, line(s) 77 rx/internal/schedulers/NewThreadWorker.java, line(s) 26,35
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/meiqia/core/e.java, line(s) 4,5,16 com/meiqia/core/f.java, line(s) 6,53 eason/linyuzai/download/database/SQLiteManager.java, line(s) 6,7,76
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/krt/ysh/app/utils/wx/Util.java, line(s) 290
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/krt/ysh/mvp/ui/activity/home/ShopDetailActivity.java, line(s) 317,311,345
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "mq_auth_code" : "CAPTCHA" c8061cc297a1af46709d21701e626f9d 339d140d6d54ee380b5ba106ff7cf90e a46d823f8bb9fd773e93e2a7ab3f481e 7931a09691424949a04c294e29e11377 5ffbbf786a2a470e8f736947 018b1b17ffc5c99b97b7ab86f2dfabd7 f1101420e44f50cc1e58a63290f5ee70 ce86b33875bdf14452a94a745b9b042c 627f2ef112ded187c8546dca426a6b6a
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cn/bingoogolapple/qrcode/core/BGAQRCodeUtil.java, line(s) 43,49 cn/bluemobi/dylan/photoview/HackyViewPager.java, line(s) 25,28 cn/bluemobi/dylan/photoview/library/PhotoViewAttacher.java, line(s) 56 cn/bluemobi/dylan/photoview/library/log/LoggerDefault.java, line(s) 18,23,48,53,28,33,8,13,38,43 com/contrarywind/view/WheelView.java, line(s) 337 com/github/mikephil/charting/charts/BarChart.java, line(s) 69 com/github/mikephil/charting/charts/BarLineChartBase.java, line(s) 270,281,296,302,461,465 com/github/mikephil/charting/charts/Chart.java, line(s) 374,189,207,350,851,855,859 com/github/mikephil/charting/charts/CombinedChart.java, line(s) 80 com/github/mikephil/charting/charts/HorizontalBarChart.java, line(s) 150,91,95 com/github/mikephil/charting/charts/PieRadarChartBase.java, line(s) 209 com/github/mikephil/charting/components/AxisBase.java, line(s) 157 com/github/mikephil/charting/data/ChartData.java, line(s) 263 com/github/mikephil/charting/data/CombinedData.java, line(s) 205,212,219 com/github/mikephil/charting/data/LineDataSet.java, line(s) 106,119 com/github/mikephil/charting/data/PieEntry.java, line(s) 61,67 com/github/mikephil/charting/listener/BarLineChartTouchListener.java, line(s) 318 com/github/mikephil/charting/renderer/CombinedChartRenderer.java, line(s) 106 com/github/mikephil/charting/renderer/ScatterChartRenderer.java, line(s) 58 com/github/mikephil/charting/utils/FileUtils.java, line(s) 44,68,94,108,122,133,149,168,181 com/github/mikephil/charting/utils/Utils.java, line(s) 52,71,80 com/krt/ysh/app/listener/SoftKeyBoardListener.java, line(s) 28 com/krt/ysh/app/utils/FileUtils.java, line(s) 306 com/krt/ysh/app/utils/KrtUtils.java, line(s) 65,71 com/krt/ysh/app/utils/MobileUtils.java, line(s) 44,48,52,56,62,75 com/krt/ysh/app/utils/MyXFormatter.java, line(s) 17 com/krt/ysh/app/utils/ToolUtils.java, line(s) 620,260 com/krt/ysh/app/utils/ZmdUtils.java, line(s) 86 com/krt/ysh/app/utils/wx/Util.java, line(s) 176,219,224,63,69,74,82,93,98,178,182,186,197,265,281,162,262,268,278 com/krt/ysh/app/utils/wx/WxUtils.java, line(s) 85,100,119,121,122,124,126,159,206,219,54 com/krt/ysh/app/widget/AddressPickerView.java, line(s) 75,141,207 com/krt/ysh/app/widget/BadgeView.java, line(s) 159 com/krt/ysh/app/widget/VerificationCodeInput.java, line(s) 182,213,234 com/krt/ysh/app/widget/flowlayout/TagAdapter.java, line(s) 84,88 com/krt/ysh/app/widget/flowlayout/TagFlowLayout.java, line(s) 120 com/krt/ysh/app/widget/wheel/view/wheelview/AbstractWheelTextAdapter.java, line(s) 137 com/krt/ysh/mvp/presenter/MyPresenter.java, line(s) 127 com/krt/ysh/mvp/presenter/OrderCommentPresenter.java, line(s) 123 com/krt/ysh/mvp/ui/activity/order/AddAddressActivity.java, line(s) 221 com/krt/ysh/mvp/ui/activity/order/AddressActivity.java, line(s) 170 com/krt/ysh/mvp/ui/activity/order/GoodOrderActivity.java, line(s) 983,990 com/meiqia/core/a/a.java, line(s) 54,111,27,95 com/meiqia/core/a/e.java, line(s) 75 com/meiqia/core/a/f.java, line(s) 19,10 com/meiqia/core/f.java, line(s) 110,203,275,287,350,366,385,460 com/meiqia/core/g.java, line(s) 179,192 com/nostra13/universalimageloader/cache/disc/impl/ext/DiskLruCache.java, line(s) 116 com/permissionx/guolindev/request/InvisibleFragment.java, line(s) 154 com/yalantis/ucrop/UCropActivity.java, line(s) 212 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 121 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 125,163,208,86,89,131,145,152 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 105,53,84 com/yalantis/ucrop/util/EglUtils.java, line(s) 27 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 55,62,73,81,113,123,135,149,163,169,173,178,184,188,291,54,61,72,80,112,122,134,148,162,168,172,177,183,187 com/yalantis/ucrop/view/OverlayView.java, line(s) 471,474 com/yalantis/ucrop/view/TransformImageView.java, line(s) 218,235,125,79 eason/linyuzai/download/ELoad.java, line(s) 179 eason/linyuzai/download/task/RetrofitDownloadTask.java, line(s) 263,659,663,556 me/zhanghai/android/materialratingbar/ClipDrawableCompat.java, line(s) 31,42,53 me/zhanghai/android/materialratingbar/MaterialRatingBar.java, line(s) 219,391 rx/internal/util/IndexedRingBuffer.java, line(s) 29 rx/internal/util/RxRingBuffer.java, line(s) 26 rx/plugins/RxJavaHooks.java, line(s) 207
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/krt/ysh/app/utils/ToolUtils.java, line(s) 5,607 com/krt/ysh/mvp/ui/activity/order/SaleFirmLogisticsActivity.java, line(s) 4,140 com/krt/ysh/mvp/ui/adapter/FirmLogisticsListAdapter.java, line(s) 4,81
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/krt/ysh/app/utils/net/RetrofitUtils.java, line(s) 33,33,39,45 com/krt/ysh/app/utils/wx/Util.java, line(s) 110,142 eason/linyuzai/download/factory/DefaultRetrofitFactory.java, line(s) 17,17
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (eco-push-api-client.meiqia.com) 通信。
{'ip': '111.13.28.157', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (new-api.meiqia.com) 通信。
{'ip': '111.13.28.157', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (book.sinopec-press.com) 通信。
{'ip': '219.142.191.145', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bizapi.jd.com) 通信。
{'ip': '111.13.28.157', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (meiqia.com) 通信。
{'ip': '203.107.60.151', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}