安全分析报告:
安全分数
安全分数 47/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
4
中危
17
信息
2
安全
2
关注
0
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 60,10
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/ancev/mentgs/activity/WebActivity.java, line(s) 198,197
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 70,75,5
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (cn.jpush.android.ui.PopWinActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (cn.jpush.android.service.DaemonService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.service.DActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (cn.jpush.android.service.DownloadProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.android.service.JTransitActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/download/library/DownloadTask.java, line(s) 459 com/download/library/Downloader.java, line(s) 498,808,814,911,915 com/download/library/Runtime.java, line(s) 345,363 com/just/agentweb/AgentWebUtils.java, line(s) 601 com/xuexiang/xupdate/utils/Md5Utils.java, line(s) 19 com/xuexiang/xutil/file/FileUtils.java, line(s) 762 com/xuexiang/xutil/security/CipherUtils.java, line(s) 17 com/xuexiang/xutil/security/EncryptUtils.java, line(s) 89
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/xuexiang/constant/RegexConstants.java, line(s) 24 com/xuexiang/xutil/system/wifi/WifiHelper.java, line(s) 187 com/zhy/http/okhttp/builder/PostFormBuilder.java, line(s) 48
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/xuexiang/xui/utils/ColorUtils.java, line(s) 5 com/xuexiang/xui/widget/button/shinebutton/ShineView.java, line(s) 16 com/xuexiang/xui/widget/textview/badge/BadgeAnimator.java, line(s) 12 com/xuexiang/xupdate/utils/ColorUtils.java, line(s) 7 com/xuexiang/xutil/common/RandomUtils.java, line(s) 5 com/xuexiang/xutil/display/ColorUtils.java, line(s) 7
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/just/agentweb/AgentWebUtils.java, line(s) 307,390 com/xuexiang/xupdate/utils/FileUtils.java, line(s) 228,232,236,240 com/xuexiang/xupdate/utils/UpdateUtils.java, line(s) 213 com/xuexiang/xutil/app/PathUtils.java, line(s) 124,128,132,136,140,144,148,152,156,160,164,76,80,84,88,92,96,100,104,108,112,116,291,374 com/xuexiang/xutil/file/CleanUtils.java, line(s) 34 com/xuexiang/xutil/file/FileUtils.java, line(s) 53,41,66
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 48,26
中危 IP地址泄露
IP地址泄露 Files: com/xuexiang/xutil/net/NetworkUtils.java, line(s) 149
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 极光推送的=> "JPUSH_APPKEY" : "1b6381fb07795efdbc2c33ae" 极光推送的=> "JPUSH_CHANNEL" : "developer-default"
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/ancev/mentgs/activity/MainActivity.java, line(s) 39 com/ancev/mentgs/activity/SplashActivity.java, line(s) 57 com/download/library/DownloadSubmitterImpl.java, line(s) 43 com/download/library/Runtime.java, line(s) 339,307,312 com/just/agentweb/AgentWebUtils.java, line(s) 155,128,129,135,148 com/just/agentweb/AgentWebView.java, line(s) 59,87,97,284,41,272,276 com/just/agentweb/DefaultChromeClient.java, line(s) 265,271 com/just/agentweb/JsCallJava.java, line(s) 133,66,42,81 com/just/agentweb/JsCallback.java, line(s) 69 com/just/agentweb/LogUtils.java, line(s) 13,18,33,23,41 com/just/agentweb/filechooser/FileChooser.java, line(s) 612 com/xuexiang/xui/XUI.java, line(s) 47,51 com/xuexiang/xui/logs/LogcatLogger.java, line(s) 59,68,62,56,74,65,71 com/xuexiang/xui/utils/SnackbarUtils.java, line(s) 211,314,324,329,346,351,416 com/xuexiang/xui/utils/SpanUtils.java, line(s) 1010,1023 com/xuexiang/xui/widget/banner/widget/banner/base/BaseBanner.java, line(s) 475,484,580,587 com/xuexiang/xui/widget/dialog/bottomsheet/BottomSheet.java, line(s) 139 com/xuexiang/xui/widget/dialog/materialdialog/MaterialDialog.java, line(s) 619 com/xuexiang/xui/widget/dialog/materialdialog/internal/MDTintHelper.java, line(s) 144 com/xuexiang/xui/widget/imageview/edit/ImageFilterView.java, line(s) 92 com/xuexiang/xui/widget/imageview/edit/PhotoEditorView.java, line(s) 74,95 com/xuexiang/xui/widget/imageview/edit/ScaleGestureDetector.java, line(s) 210 com/xuexiang/xui/widget/imageview/nine/NineGridImageView.java, line(s) 778 com/xuexiang/xui/widget/imageview/photoview/PhotoViewAttacher.java, line(s) 332,354,389,836,871,888,61,296,420,530 com/xuexiang/xui/widget/imageview/photoview/gestures/CupcakeGestureDetector.java, line(s) 58 com/xuexiang/xui/widget/imageview/preview/view/BezierBannerView.java, line(s) 344,353,364 com/xuexiang/xui/widget/layout/linkage/LinkageScrollLayout.java, line(s) 62,69,76,82,89,96,216,252,279,390,461,467,474,488,500,578 com/xuexiang/xui/widget/layout/linkage/PosIndicator.java, line(s) 245,251 com/xuexiang/xui/widget/picker/wheelview/WheelView.java, line(s) 327 com/xuexiang/xui/widget/picker/widget/utils/LunarCalendarUtils.java, line(s) 151 com/xuexiang/xui/widget/popupwindow/easypopup/EasyPopup.java, line(s) 365,408 com/xuexiang/xui/widget/progress/materialprogressbar/BaseProgressLayerDrawable.java, line(s) 73 com/xuexiang/xui/widget/progress/materialprogressbar/MaterialProgressBar.java, line(s) 121,299,472 com/xuexiang/xui/widget/spinner/materialspinner/MaterialSpinner.java, line(s) 232 com/xuexiang/xui/widget/statelayout/StatusLoader.java, line(s) 144,170,176,179,182,203 com/xuexiang/xui/widget/tabbar/TabSegment.java, line(s) 440 com/xuexiang/xui/widget/textview/BadgeView.java, line(s) 163 com/xuexiang/xupdate/UpdateManager.java, line(s) 88,129,281,292,162,176,210,247,258,270 com/xuexiang/xupdate/XUpdate.java, line(s) 91,112,116,142,148,154,160,171,176 com/xuexiang/xupdate/_XUpdate.java, line(s) 151 com/xuexiang/xupdate/listener/impl/DefaultUpdateFailureListener.java, line(s) 10 com/xuexiang/xupdate/logs/LogcatLogger.java, line(s) 59,68,62,56,74,65,71 com/xuexiang/xupdate/proxy/impl/DefaultUpdateParser.java, line(s) 106 com/xuexiang/xupdate/proxy/impl/DefaultUpdatePrompter.java, line(s) 25,21 com/xuexiang/xupdate/service/DownloadService.java, line(s) 163,275 com/xuexiang/xupdate/utils/UpdateUtils.java, line(s) 259,269,276 com/xuexiang/xutil/common/IDCardUtils.java, line(s) 175,179,182,186 com/xuexiang/xutil/common/SpanUtils.java, line(s) 742,758 com/xuexiang/xutil/common/logger/LogcatLogger.java, line(s) 59,68,62,56,74,65,71 com/xuexiang/xutil/system/FlashlightUtils.java, line(s) 25,37,54,68,81 com/zhy/http/okhttp/cookie/store/PersistentCookieStore.java, line(s) 143,152,155 com/zhy/http/okhttp/log/LoggerInterceptor.java, line(s) 41,43,44,45,47,50,53,56,58,69,70,71,73,77,79,81,84 com/zhy/http/okhttp/utils/L.java, line(s) 10 io/github/inflationx/calligraphy3/ReflectionUtils.java, line(s) 30,32 io/github/inflationx/calligraphy3/TypefaceUtils.java, line(s) 30 io/github/inflationx/viewpump/internal/ReflectionUtils.java, line(s) 47,49
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/xuexiang/xutil/system/ClipboardUtils.java, line(s) 4,17,33,48
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/zhy/http/okhttp/https/HttpsUtils.java, line(s) 107,171,42,105,105,169,169
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/xuexiang/xupdate/utils/ApkInstallUtils.java, line(s) 94,135 com/xuexiang/xutil/app/AppUtils.java, line(s) 93,115,600 com/xuexiang/xutil/app/PackageUtils.java, line(s) 70,137 com/xuexiang/xutil/system/DeviceUtils.java, line(s) 182