移动应用安全检测报告:
安全基线评分
安全基线评分 42/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
2
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
2
中危安全漏洞
11
安全提示信息
1
已通过安全项
0
重点安全关注
1
高危安全漏洞 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: b/f/a/i/a/c.java, line(s) 213,212 com/ecs/uti/html/activity/FullGameActivity.java, line(s) 33,31
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 Broadcast Receiver (sub.base.task.service.TaskService) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: b/a/a/a.java, line(s) 38 b/d/a/j/d.java, line(s) 84 b/d/a/j/j/c.java, line(s) 37 b/d/a/j/j/n.java, line(s) 92 b/d/a/j/j/u.java, line(s) 76
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b/f/a/j/c.java, line(s) 47,53,60 b/h/a/o0/f.java, line(s) 513,513 f/a/c/a.java, line(s) 57,61,62 f/a/d/e.java, line(s) 130
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: b/h/a/g0/d.java, line(s) 5,112,263,286 b/h/a/g0/e.java, line(s) 5,6,17,18,41,42,45,46
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/ecs/uti/html/activity/FullGameActivity.java, line(s) 86,78 com/ecs/uti/html/view/HtmlView.java, line(s) 18,34
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: d/a/a/a/a/a.java, line(s) 168
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/ecs/uti/html/activity/FullGameActivity.java, line(s) 111,78
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: f/a/d/a.java, line(s) 20
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "dyStrategy.privateAddress" : "privateAddress" "anythink_myoffer_feedback_violation_of_laws" : "Illegal" 65e6d90ce5e91c536edcf476
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b/d/a/h/a.java, line(s) 255 b/d/a/i/c.java, line(s) 95,126,94,125 b/d/a/i/d.java, line(s) 59,83,89,58,82,88 b/d/a/j/i/b.java, line(s) 47,46 b/d/a/j/i/j.java, line(s) 79,100,78,99,103,109,116,113,117 b/d/a/j/i/l.java, line(s) 48,47 b/d/a/j/i/o/c.java, line(s) 104,103 b/d/a/j/i/o/e.java, line(s) 55,54 b/d/a/j/j/a0/a.java, line(s) 68,67 b/d/a/j/j/g.java, line(s) 60,61 b/d/a/j/j/i.java, line(s) 19,168 b/d/a/j/j/w.java, line(s) 60,61 b/d/a/j/j/x/j.java, line(s) 133,174,134,175 b/d/a/j/j/x/k.java, line(s) 101,113,199,230,100,112,139,146,179,198,208,219,229,140,147,185,209,220 b/d/a/j/j/y/e.java, line(s) 34,40,68,78,92,35,69,41,81,93 b/d/a/j/j/y/i.java, line(s) 113,97 b/d/a/j/j/z/a.java, line(s) 80,77 b/d/a/j/j/z/b.java, line(s) 39,38 b/d/a/j/k/c.java, line(s) 17,16 b/d/a/j/k/d.java, line(s) 42,41 b/d/a/j/k/f.java, line(s) 98,97 b/d/a/j/k/s.java, line(s) 97,100 b/d/a/j/k/t.java, line(s) 38,37 b/d/a/j/l/c/j.java, line(s) 185,203,213,216,219,222,225,258,265,341,351,363,375,380,184,202,212,215,218,221,224,257,264,340,350,362,374,379 b/d/a/j/l/c/k.java, line(s) 88,287,87,161,286,346,362,162,224,347 b/d/a/j/l/c/l.java, line(s) 44,50,45,51 b/d/a/j/l/c/p.java, line(s) 41,42 b/d/a/j/l/c/t.java, line(s) 109,114,158,167,174,110,115,159,168,175,176,177,181 b/d/a/j/l/c/v.java, line(s) 127,124 b/d/a/j/l/g/a.java, line(s) 65,86,91,96,66,87,92,97 b/d/a/j/l/g/d.java, line(s) 23,24 b/d/a/j/l/g/j.java, line(s) 39,42 b/d/a/k/e.java, line(s) 34,33,55,71,56,72 b/d/a/k/f.java, line(s) 15,14 b/d/a/k/k.java, line(s) 190,191,202 b/d/a/k/m.java, line(s) 90,91 b/d/a/k/n.java, line(s) 107,108 b/d/a/l/e.java, line(s) 53,60,71,76,52,59,64,70,75,65 b/d/a/n/i/i.java, line(s) 60,142,143,61 b/d/a/p/l/a.java, line(s) 56,57 b/g/a/b/d0/d.java, line(s) 149,181 b/g/a/b/l/h.java, line(s) 59 com/anythink/banner/api/ATBannerView.java, line(s) 347,363,368,514 com/anythink/interstitial/a/a.java, line(s) 75,341,409 com/anythink/interstitial/a/c.java, line(s) 81,198,203,208,128,130,169,171 com/anythink/interstitial/api/ATInterstitial.java, line(s) 197,208,221 com/kwai/library/ipneigh/KwaiIpNeigh.java, line(s) 47,50 d/a/b/b/a/a.java, line(s) 24,40 d/a/b/c/a/b.java, line(s) 122,41,133,139 d/a/b/c/a/c.java, line(s) 26 e/l/d/d.java, line(s) 15 e/o/c.java, line(s) 211
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (qq.ahaozhuan.com) 通信。
{'ip': '47.107.40.90', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}