安全分析报告:
安全分数
安全分数 29/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
4
用户/设备跟踪器
调研结果
高危
28
中危
35
信息
1
安全
1
关注
20
高危 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危 Activity (com.anysoft.tyyd.activities.MainActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.MainActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (10) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.anysoft.tyyd.activities.PlayerControlActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.PlayerControlActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (10) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.anysoft.tyyd.activities.LoginActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.LoginActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (10) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.anysoft.tyyd.activities.LockScreenActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.AlarmAlertActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.FlowWarnActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.FlowWarnActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (10) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.anysoft.tyyd.activities.PlayToolActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.PlayToolActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (10) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.tencent.tauth.AuthActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.tencent.tauth.AuthActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (10) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.anysoft.tyyd.activities.ShareJumpActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anysoft.tyyd.activities.ShareJumpActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (10) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.anysoft.tyyd.wxapi.WXEntryActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (10) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (.wxapi.WXPayEntryActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (10) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.igexin.sdk.GActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (10) 更新到 29 或更高版本以在平台级别修复此问题。
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/anysoft/tyyd/e/a.java, line(s) 94,113 com/anysoft/tyyd/g/y.java, line(s) 149
高危 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/anysoft/tyyd/e/a.java, line(s) 90 com/anysoft/tyyd/g/ar.java, line(s) 245 com/anysoft/tyyd/g/y.java, line(s) 55,227
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/renn/rennsdk/oauth/OAuthActivity.java, line(s) 199,198 com/tencent/weibo/webview/OAuthV1AuthorizeWebView.java, line(s) 58,56 com/tencent/weibo/webview/OAuthV2AuthorizeWebView.java, line(s) 62,60 com/weibo/sdk/android/j.java, line(s) 76,75
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alipay/f/a/a/b/a/d.java, line(s) 27,53 com/e/a/a/a/a.java, line(s) 16,38
高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: com/anysoft/tyyd/g/a.java, line(s) 16,36
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/anysoft/tyyd/ad/AdView.java, line(s) 120,11
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/alipay/android/a/a/a/p.java, line(s) 70,9,3
高危 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/eshore/network/util/a.java, line(s) 46,84
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.anysoft.tyyd.activities.PlayToolActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.anysoft.tyyd.activities.ShareJumpActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.anysoft.tyyd.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.anysoft.tyyd.wxapi.WXAppRegister) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.tencent.mm.plugin.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.anysoft.tyyd.services.SmsRecevier) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.anysoft.tyyd.services.GGReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.anysoft.tyyd.poll.ConnectReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.anysoft.tyyd.poll.ActionReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.anysoft.tyyd.yxapi.AppRegister) 受权限保护, 但是应该检查权限的保护级别。
Permission: im.yixin.sdk.permission.YIXIN_SDK_MESSAGE [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.anysoft.tyyd.appwidget.PlayAppWidgetProvider) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.anysoft.tyyd.play.MediaButtonReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (com.igexin.sdk.PushService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.igexin.sdk.PushServiceUser) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.igexin.sdk.PushReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity设置了TaskAffinity属性
(com.igexin.sdk.PushActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.igexin.sdk.GActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.igexin.sdk.GActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.igexin.download.DownloadReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Content Provider (com.igexin.download.DownloadProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.igexin.getuiext.activity.GetuiExtActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 高优先级的Intent (2147483647) - {2} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/alipay/f/a/a/c/a.java, line(s) 275,276 com/alipay/f/a/a/d/a.java, line(s) 30 com/alipay/f/a/a/d/b.java, line(s) 10,21,22 com/anysoft/tyyd/activities/UploadVoiceActivity.java, line(s) 26 com/anysoft/tyyd/g/az.java, line(s) 19,19,46,57,61,82 com/anysoft/tyyd/g/g.java, line(s) 21 com/anysoft/tyyd/g/l.java, line(s) 6 com/anysoft/tyyd/g/u.java, line(s) 12,13,61 com/anysoft/tyyd/z.java, line(s) 16 com/b/a/c/e.java, line(s) 10,23 com/e/a/b/a/e.java, line(s) 29,153 com/github/ignition/support/cache/a.java, line(s) 59,60 com/tencent/a/a/a/a/b.java, line(s) 19,21,33
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/alipay/e/a.java, line(s) 13 com/anysoft/tyyd/dialogs/bq.java, line(s) 29 com/anysoft/tyyd/g/y.java, line(s) 8 com/anysoft/tyyd/ui/search/SearchKeyworsLay.java, line(s) 18 com/e/a/a/a/g.java, line(s) 5 com/e/a/c/c.java, line(s) 11 com/e/a/c/d.java, line(s) 3 com/renn/rennsdk/signature/Signatures.java, line(s) 3 com/tencent/weibo/beans/OAuth.java, line(s) 7 org/a/a/a/a/h.java, line(s) 7
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/anysoft/tyyd/activities/duiba/DuiBaCreditWebActivity.java, line(s) 203,179 com/renn/rennsdk/oauth/OAuthActivity.java, line(s) 66,71,63
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alipay/e/i.java, line(s) 13 com/alipay/f/a/a/b/a.java, line(s) 44 com/alipay/f/a/a/b/a/b.java, line(s) 12 com/alipay/f/a/a/b/a/d.java, line(s) 38 com/e/a/a/a/a.java, line(s) 48 com/e/a/c/c.java, line(s) 170 com/eshore/network/util/d.java, line(s) 13 com/tencent/weibo/oauthv1/OAuthV1Client.java, line(s) 155
中危 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/alipay/b/e/e.java, line(s) 93,96,98,93,96,98,93,96,98
中危 IP地址泄露
IP地址泄露 Files: com/anysoft/tyyd/g/ab.java, line(s) 39,57 com/anysoft/tyyd/http/a/ar.java, line(s) 34 com/tencent/weibo/beans/OAuth.java, line(s) 13 com/tencent/weibo/oauthv2/OAuthV2Request.java, line(s) 46
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/anysoft/tyyd/play/data/k.java, line(s) 114,146,201,158,185 com/eshore/network/preference/SdkPreference.java, line(s) 14,15 com/renn/rennsdk/AccessToken.java, line(s) 27 com/renn/rennsdk/RennClient.java, line(s) 16 com/renn/rennsdk/RennResponse.java, line(s) 7 com/renn/rennsdk/oauth/Config.java, line(s) 24 com/renn/rennsdk/oauth/EnvironmentUtil.java, line(s) 18,19 com/renn/rennsdk/oauth/RenrenAccountManager.java, line(s) 33 com/renn/rennsdk/oauth/SSO.java, line(s) 13,16
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/anysoft/tyyd/alarmclock/k.java, line(s) 6,46 com/anysoft/tyyd/download/restruct/DownloadProvider.java, line(s) 8,9,222 com/anysoft/tyyd/download/restruct/a.java, line(s) 4,5,6,85,92,99,106,113,120,127,137,138,139 com/anysoft/tyyd/play/data/k.java, line(s) 7,8,9,45,70,73,76 com/anysoft/tyyd/provider/f.java, line(s) 4,5,6,43,50,57,75,82,89,103,110,117,148,163,170,177,196,203,209,213,228,235,241,253,260,266,270 com/eshore/network/db/a.java, line(s) 6,7,55 com/eshore/network/db/b.java, line(s) 4,5,14,15,16,17,18,19,20,26,27,28,29,30,31,32,33,36,37,38,39,40,42,43,44,45,46,47,50,51
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/anysoft/tyyd/g/bl.java, line(s) 127 com/b/a/a/a/b/c.java, line(s) 16 com/eshore/network/util/a.java, line(s) 29 com/tencent/mm/a/a.java, line(s) 9 im/yixin/a/a.java, line(s) 11
中危 应用程序包含隐私跟踪程序
此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "BaiduMobAd_APP_ID" : "f3367d3e" 个推–推送服务的=> "PUSH_APPID" : "9UIydYDXvgANBLN5JDtTv9" 个推–推送服务的=> "PUSH_APPKEY" : "yrpALkxASvAqc5qNPz8r79" 友盟统计的=> "UMENG_CHANNEL" : "@string/config_pno" 个推–推送服务的=> "PUSH_APPSECRET" : "zFDaYsY6MXARJbg4ngVq34" 友盟统计的=> "UMENG_APPKEY" : "525bbac156240bf01600b2e1" "config_app_author_name" : "unknown" 07077c9c13a0659670527aae48b32af0afea 07c1e8e099423779afcc5da8da80f7e6 SENNGR0mdamffHhLjTMmmAuOA7UBc5etA b8d14b3ee09046d3b24e2ae88a5d7a55 78f1b331-b726-4881-8df8-31f0fe37313f d6fc3a4a06adbde89223b 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 a909dc3409cdbc99bf04c03b3788cd0b dbaae35c5bb14d8aabc4f772a9114c0f 1a4a27dc66c94440ba3b71e155372464 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 XwYp8WL8bm6S4wu6yEYmLGy4RRRdJDIhxCBdk3CiNZTwGoj1bScVZEeVp9vBiiIsgwDtqZHP8QLoFM6o6MRYjW8QqyrZBI654mqoUk5SOLDyzordzOU5QhYguEJh54q3K1KqMEXpdEQJJjs1Urqjm2s4jgPfCZ4hMuIjAMRrEQluA7FeoqWMJOwghcLcPVleQ8PLzAcaKidybmwhvNAxIyKRpbZlcDjNCcUvsJYvyzEA9VUIaHkIAJ62lpA3EE3H 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 7c9c13a0659670527aae48b32af0afea efedc24fecde188aaa9161 6X8Y4XdM2Vhvn0KfzcEatGnWaNU=
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/a/a/ag.java, line(s) 103,134,178,196,198,227,229 com/a/a/ah.java, line(s) 62,64 com/alipay/android/a/a/a/q.java, line(s) 24 com/anysoft/tyyd/aa.java, line(s) 48,35,45 com/anysoft/tyyd/g/c.java, line(s) 69 com/anysoft/tyyd/poll/ConnectReceiver.java, line(s) 20,23,26 com/anysoft/tyyd/services/GetuiPushReceiver.java, line(s) 38 com/anysoft/tyyd/z.java, line(s) 44,50,38,94 com/eshore/network/db/a.java, line(s) 62,123,162,192,226,234,253,289,315,362,387 com/eshore/network/net/a.java, line(s) 111,121,135,145 com/eshore/network/stat/NetStat.java, line(s) 117,83,319,343,391,55,90,100,108,134,141,149,155,169,188,196,205,211,239,247,248,249,250,282,283,309,353,377,382,406 com/eshore/network/stat/a.java, line(s) 41,55,80,28,60,67,75 com/eshore/network/stat/b.java, line(s) 59 com/eshore/network/stat/c.java, line(s) 20 com/eshore/network/stat/d.java, line(s) 54,62 com/eshore/network/stat/e.java, line(s) 20 com/eshore/network/stat/f.java, line(s) 33 com/eshore/network/stat/i.java, line(s) 51 com/eshore/network/util/MyTrafficStats.java, line(s) 30 com/github/ignition/support/cache/a.java, line(s) 82,83,102,107,111,239,75,80 com/github/ignition/support/http/c.java, line(s) 89 com/github/ignition/support/http/e.java, line(s) 122,93 com/github/ignition/support/http/f.java, line(s) 43,46 com/slidingmenu/lib/CustomViewBehind.java, line(s) 212 com/tencent/a/a/a/a/b.java, line(s) 18,26 com/tencent/a/a/a/a/c.java, line(s) 31,45 com/tencent/a/a/a/a/d.java, line(s) 16,32 com/tencent/a/a/a/a/e.java, line(s) 15,29 com/tencent/a/a/a/a/h.java, line(s) 31,22,51,58,25 com/tencent/weibo/oauthv1/OAuthV1Client.java, line(s) 30,32,35,51,87,89,90,92,130,118 com/tencent/weibo/oauthv2/OAuthV2Client.java, line(s) 19,21,42,72,74,76,87,89,99,125 com/tencent/weibo/utils/QHttpClient.java, line(s) 76,82,85,107,118,125,141,155,162 com/tencent/weibo/webview/OAuthV1AuthorizeWebView.java, line(s) 37,41,42,36 com/tencent/weibo/webview/OAuthV2AuthorizeWebView.java, line(s) 38,42,43,37 com/weibo/sdk/android/b/a.java, line(s) 92,100,111,115,122,125 com/weibo/sdk/android/c/b.java, line(s) 60 com/weibo/sdk/android/f.java, line(s) 27,30,37,43,49 com/weibo/sdk/android/j.java, line(s) 24,47,64 im/yixin/sdk/api/BaseYXEntryActivity.java, line(s) 32,13,20,27 im/yixin/sdk/api/YXAPIBaseBroadcastReceiver.java, line(s) 23,15,17 im/yixin/sdk/api/YXFileMessageData.java, line(s) 27,31,37 im/yixin/sdk/api/YXImageMessageData.java, line(s) 35,39,45,50 im/yixin/sdk/api/YXMessage.java, line(s) 25,29,33,37,41,63 im/yixin/sdk/api/YXMusicMessageData.java, line(s) 15,19,23,27,31 im/yixin/sdk/api/YXTextMessageData.java, line(s) 21 im/yixin/sdk/api/YXVideoMessageData.java, line(s) 13,17,21 im/yixin/sdk/api/YXWebPageMessageData.java, line(s) 21 im/yixin/sdk/api/g.java, line(s) 11,16 im/yixin/sdk/api/h.java, line(s) 100,123,144,25,30,39,74,76,81,89,106,109,111 im/yixin/sdk/channel/a.java, line(s) 34,13,16,31 org/acra/CrashReportDialog.java, line(s) 36,122,130,128 org/acra/ErrorReporter.java, line(s) 107,167,169,209,216,219,230,40,146,149,154,212,262,289,42,44,174,95,284 org/acra/b/b.java, line(s) 101,103,60,62,134 org/acra/b/d.java, line(s) 50,52,55,216,218,220,175,189,122 org/acra/b/e.java, line(s) 27 org/acra/b/g.java, line(s) 71,74,77,80,83,86 org/acra/b/h.java, line(s) 29 org/acra/b/i.java, line(s) 48,60 org/acra/b/p.java, line(s) 23,25,42,44,67,69,71,73,75,77 org/acra/d/b.java, line(s) 8,23,28,13,18 org/acra/e/f.java, line(s) 32,36 org/acra/e/j.java, line(s) 36 org/acra/e/k.java, line(s) 17 org/acra/e/l.java, line(s) 13 org/acra/g.java, line(s) 24,16,21 org/acra/l.java, line(s) 23 org/acra/m.java, line(s) 23,35,38,30 org/acra/sender/HttpSender.java, line(s) 51 org/acra/sender/b.java, line(s) 41,42 org/acra/y.java, line(s) 27,44,72,34,62,65,68,57,86,94
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/renn/rennsdk/http/HttpRequest.java, line(s) 117,1338
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ts.ystest.189read.com) 通信。
{'ip': '115.239.136.126', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.weibo.com) 通信。
{'ip': '59.111.179.9', 'country_short': 'CN', 'country_long': '中国', 'region': '云南', 'city': '昆明', 'latitude': '25.038891', 'longitude': '102.718330'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mreg.renren.com) 通信。
{'ip': '120.133.12.123', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v2.ysjk.189read.com) 通信。
{'ip': '115.239.134.199', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mc1.test.renren.com) 通信。
{'ip': '120.133.12.123', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yixin.im) 通信。
{'ip': '59.111.179.9', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cdn.ystest.189read.com) 通信。
{'ip': '115.239.136.126', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tingshu.189.cn) 通信。
{'ip': '60.169.2.214', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '芜湖', 'latitude': '31.146000', 'longitude': '118.564552'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.m.renren.com) 通信。
{'ip': '120.133.12.123', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wapread.189.cn) 通信。
{'ip': '124.232.169.249', 'country_short': 'CN', 'country_long': '中国', 'region': '湖南', 'city': '长沙', 'latitude': '28.200001', 'longitude': '112.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (eco-api.meiqia.com) 通信。
{'ip': '114.117.133.42', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ysjk.ystest.189read.com) 通信。
{'ip': '115.239.136.126', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (openbox.mobilem.360.cn) 通信。
{'ip': '180.163.251.81', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.renren.com) 通信。
{'ip': '120.133.12.124', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (graph.renren.com) 通信。
{'ip': '120.133.12.124', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ds.ystest.189read.com) 通信。
{'ip': '115.239.136.126', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.renren.com) 通信。
{'ip': '120.133.12.124', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.weibo.cn) 通信。
{'ip': '106.63.15.10', 'country_short': 'CN', 'country_long': '中国', 'region': '云南', 'city': '昆明', 'latitude': '25.038891', 'longitude': '102.718330'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dsdev.ystest.189read.com) 通信。
{'ip': '115.239.136.126', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.yixin.im) 通信。
{'ip': '59.111.179.10', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}