安全分析报告:
安全分数
安全分数 37/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
3
用户/设备跟踪器
调研结果
高危
6
中危
12
信息
1
安全
1
关注
11
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 76,80,5
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/ytd/q8x/zqv/NetWebActivity.java, line(s) 70,68 h/a/a/b/p0.java, line(s) 896,895
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 50,24 h/a/a/b/p0.java, line(s) 980,978,979,980,981,982,983,984,987
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/bafenyi/zh/bafenyilib/util/PreferenceUtil.java, line(s) 45 h/c/a/a/j.java, line(s) 16 h/f/a/b.java, line(s) 30 h/o/a/c/i/a/c.java, line(s) 93
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 62,10
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c/t/maploc/lite/tsa/a.java, line(s) 19
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Content Provider (com.tencent.mid.api.MidProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: h/d/a/m/i.java, line(s) 64 h/d/a/m/p/d.java, line(s) 36 h/d/a/m/p/p.java, line(s) 101 h/d/a/m/p/x.java, line(s) 72 h/m/b/b/c/a.java, line(s) 26 h/m/b/b/c/b.java, line(s) 26
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: c/t/maploc/lite/tsa/v.java, line(s) 35 com/bfy/adlibrary/util/ShowSeqUtils.java, line(s) 23,103 com/just/agentweb/AgentWebUtils.java, line(s) 298,375 com/tencent/mid/b/c.java, line(s) 30,34,68 com/tencent/mid/util/j.java, line(s) 221,222 h/e/c/b/m.java, line(s) 435,413,424,483 h/f/a/i.java, line(s) 197 h/m/b/b/a/a.java, line(s) 74 h/o/a/c/a$i/a.java, line(s) 45 h/o/a/c/a$i/b.java, line(s) 31 h/o/a/c/a.java, line(s) 2669,2703,1400,3017,3705 h/o/a/d/a/d.java, line(s) 256,260 h/o/a/d/a/e.java, line(s) 712,709
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: h/e/a/t.java, line(s) 7,8,218,219,177 h/e/c/b/c/c/a.java, line(s) 4,35 h/e/c/b/c/c/b.java, line(s) 4,14,15,24 h/o/a/d/b/c/a.java, line(s) 4,5,37 h/o/a/d/b/c/e.java, line(s) 5,6,326
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jg/ids/e/d.java, line(s) 82 com/pgl/sys/ces/c.java, line(s) 13 com/tencent/mid/util/Util.java, line(s) 202
中危 IP地址泄露
IP地址泄露 Files: com/tencent/mid/a/b.java, line(s) 55 com/tencent/mid/util/Util.java, line(s) 245,241 h/o/a/c/a.java, line(s) 2964
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/tencent/mid/util/Util.java, line(s) 37 h/e/c/b/g/a.java, line(s) 14
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c/t/maploc/lite/tsa/k.java, line(s) 49 com/bafenyi/zh/bafenyilib/request/BFYRequest.java, line(s) 154 com/common/busi/CustomView.java, line(s) 58 com/just/agentweb/AgentWebUtils.java, line(s) 583 com/tencent/mid/util/Util.java, line(s) 515 h/a/a/b/r0/b.java, line(s) 282 h/e/a/l0.java, line(s) 19 h/f/a/o.java, line(s) 178,200 h/o/a/d/b/o/d.java, line(s) 269
中危 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "TA_APPKEY" : "ALN7G845QGAC" "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" 03a976511e2cbe3a7f26808fb7af3c05 592cd223db7d48cdab138508dc318b53 6X8Y4XdM2Vhvn0KfzcEatGnWaNU= cGVyc2lzdC5zeXMuaWRlbnRpZmllcmlkLnN1cHBvcnRlZA== 3082010a0282010100d52ff5dd432b3a05113ec1a7065fa5a80308810e4e181cf14f7598c8d553cccb7d5111fdcdb55f6ee84fc92cd594adc1245a9c4cd41cbe407a919c5b4d4a37a012f8834df8cfe947c490464602fc05c18960374198336ba1c2e56d2e984bdfb8683610520e417a1a9a5053a10457355cf45878612f04bb134e3d670cf96c6e598fd0c693308fe3d084a0a91692bbd9722f05852f507d910b782db4ab13a92a7df814ee4304dccdad1b766bb671b6f8de578b7f27e76a2000d8d9e6b429d4fef8ffaa4e8037e167a2ce48752f1435f08923ed7e2dafef52ff30fef9ab66fdb556a82b257443ba30a93fda7a0af20418aa0b45403a2f829ea6e4b8ddbb9987f1bf0203010001 4kU71lN96TJUomD1vOU9lgj9U+kKmxDPLVM+zzjst5U= MA0Mw1bAsvffG2WHWeWHuTkdX2vHRNPwjzrRK8F6gw2GVOGn
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/bafenyi/zh/bafenyilib/activity/WebActivity.java, line(s) 56,61,68,74,93,199,209 com/bafenyi/zh/bafenyilib/request/http_config/ClientFactory.java, line(s) 51 com/bfy/adlibrary/BFYAdMethod.java, line(s) 117,163,174,188,203,219,234 com/bfy/adlibrary/ttad/TTBannerAdUtil.java, line(s) 65,121,144,153,160,175,228 com/bfy/adlibrary/ttad/TTInterstitialADUtil.java, line(s) 65,70,76,149,154,159,108 com/bfy/adlibrary/ttad/TTNativeAdUtil.java, line(s) 92,100,46 com/bfy/adlibrary/ttad/TTRewardVideoAdUtil.java, line(s) 32,117,39,44,52,59,64,70,76,81,89 com/bfy/adlibrary/ttad/TTSplashAdUtil.java, line(s) 26,33,43,48,53,59,78,85,95,100,105,111 com/bfy/adlibrary/unad/UnBannerAdUtil.java, line(s) 41,46,51,60,69,74,79,84 com/bfy/adlibrary/unad/UnInterstitialADUtil.java, line(s) 51,61,71 com/bfy/adlibrary/unad/UnNativeAdUtil.java, line(s) 34,39,44,49,54,59,74,79,87,92 com/bfy/adlibrary/unad/UnRewardVideoAdUtil.java, line(s) 25,30,36,41,46,52,63,68,75 com/bfy/adlibrary/unad/UnSplashAdUtil.java, line(s) 53,59 com/bytedance/embed_dr/DrLogWriter.java, line(s) 11,16,21,26,31 com/just/agentweb/AgentWebUtils.java, line(s) 155,128,129,135,148 com/just/agentweb/AgentWebView.java, line(s) 56,84,94,273,38,262,265 com/just/agentweb/DefaultChromeClient.java, line(s) 240,246 com/just/agentweb/JsCallJava.java, line(s) 127,68,41,81 com/just/agentweb/JsCallback.java, line(s) 65 com/just/agentweb/LogUtils.java, line(s) 9,24,38,14,32 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 118,136 com/pgl/sys/ces/b.java, line(s) 265 com/tencent/mid/util/Util.java, line(s) 92,99,101,112,261,132,147,180,474,79,350,114,484 com/tencent/mid/util/f.java, line(s) 131,47,112,60,93 com/ytd/q8x/zqv/MainActivity.java, line(s) 221,448,513,661,766,976,1026,1128,1182,1434 com/ytd/q8x/zqv/NetWebActivity.java, line(s) 110 com/ytd/q8x/zqv/SplashActivity.java, line(s) 63,115,151 com/ytd/q8x/zqv/app/App.java, line(s) 69 com/ytd/q8x/zqv/widget/DashScrollView.java, line(s) 159,162,165 h/a/a/b/r0/g/b.java, line(s) 21 h/c/a/a/b.java, line(s) 44 h/c/a/a/g.java, line(s) 45 h/c/a/a/n.java, line(s) 97,127,138 h/c/a/a/p.java, line(s) 115,239,249 h/c/a/a/q.java, line(s) 67,92 h/c/a/a/r.java, line(s) 104,113,127,354,74 h/d/a/b.java, line(s) 352,361,281,351,358,284 h/d/a/k/a.java, line(s) 478 h/d/a/l/c.java, line(s) 134,259,133,258 h/d/a/l/d.java, line(s) 377,393,410,376,392,409 h/d/a/m/o/b.java, line(s) 29,28 h/d/a/m/o/j.java, line(s) 57,168,56,60,66,73,167,70,74 h/d/a/m/o/l.java, line(s) 31,30 h/d/a/m/o/p/c.java, line(s) 104,103 h/d/a/m/o/p/e.java, line(s) 54,53 h/d/a/m/p/a0/j.java, line(s) 158,203,159,204 h/d/a/m/p/a0/k.java, line(s) 122,150,214,234,87,94,121,131,149,175,213,223,233,88,95,132,190,224 h/d/a/m/p/b0/e.java, line(s) 38,48,62,68,39,63,51,69 h/d/a/m/p/b0/i.java, line(s) 121,105 h/d/a/m/p/c0/a.java, line(s) 85,82 h/d/a/m/p/c0/b.java, line(s) 38,37 h/d/a/m/p/h.java, line(s) 358,198,357,538,598 h/d/a/m/p/i.java, line(s) 63,64 h/d/a/m/p/k.java, line(s) 18,249 h/d/a/m/p/q.java, line(s) 194 h/d/a/m/p/z.java, line(s) 112,113 h/d/a/m/q/c.java, line(s) 17,16 h/d/a/m/q/d.java, line(s) 44,43 h/d/a/m/q/f.java, line(s) 117,116 h/d/a/m/q/s.java, line(s) 96,99 h/d/a/m/q/t.java, line(s) 38,37 h/d/a/m/r/a.java, line(s) 79,80 h/d/a/m/r/d/b0.java, line(s) 175,172 h/d/a/m/r/d/d.java, line(s) 16,17 h/d/a/m/r/d/k.java, line(s) 187,197,209,278,285,304,312,342,360,364,369,378,381,386,186,196,208,277,284,303,311,341,359,363,368,377,380,385 h/d/a/m/r/d/m.java, line(s) 369,394,231,256,358,368,393,232,359,413 h/d/a/m/r/d/n.java, line(s) 43,49,44,50 h/d/a/m/r/d/r.java, line(s) 140,141 h/d/a/m/r/d/z.java, line(s) 91,96,119,128,135,92,97,120,129,136,137,138,142 h/d/a/m/r/h/a.java, line(s) 107,112,117,126,108,113,118,127 h/d/a/m/r/h/d.java, line(s) 23,24 h/d/a/m/r/h/j.java, line(s) 53,56 h/d/a/n/e.java, line(s) 35,34,56,72,57,73 h/d/a/n/f.java, line(s) 15,14 h/d/a/n/k.java, line(s) 97,98 h/d/a/n/l.java, line(s) 128,129,137 h/d/a/n/n.java, line(s) 40,41 h/d/a/n/o.java, line(s) 94,101,95,102 h/d/a/o/e.java, line(s) 21,28,39,44,20,27,32,38,43,33 h/d/a/q/h.java, line(s) 458,18,533,498 h/d/a/q/j/i.java, line(s) 100,213,214,101 h/d/a/r/b.java, line(s) 47 h/d/a/s/l/a.java, line(s) 52,53 h/e/a/b2.java, line(s) 47 h/e/a/f1.java, line(s) 47 h/e/a/q.java, line(s) 55,56 h/e/a/q0.java, line(s) 11,20,28,24,16 h/e/b/b/d/r.java, line(s) 20,24,55,11,15,28 h/e/b/b/e/a.java, line(s) 14,9 h/e/b/b/e/e.java, line(s) 21 h/e/c/b/a/g.java, line(s) 459 h/e/c/b/g/a.java, line(s) 86 h/e/c/b/m.java, line(s) 520,508,514 h/f/a/o.java, line(s) 172,275 h/g/a/a/a/c/d.java, line(s) 127 h/h/a/b/a/h.java, line(s) 125 h/h/a/b/t/d.java, line(s) 149,176 h/h/a/b/u/b.java, line(s) 79 h/k/a/a.java, line(s) 271 h/o/a/d/a/a/a.java, line(s) 22 h/o/a/d/a/d.java, line(s) 463,547 h/o/a/d/a/h/a/i.java, line(s) 17 h/o/a/d/b/g/a.java, line(s) 82,62,95,36,76,49 h/o/a/d/b/k/d.java, line(s) 60 h/o/a/d/b/k/n.java, line(s) 243 h/o/a/d/b/o/d.java, line(s) 130,754,759,873,995,1018,218,225 h/p/a/a/f0/h.java, line(s) 40
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/bafenyi/zh/bafenyilib/request/http_config/ClientHelper.java, line(s) 122,176,121,120,173,173 com/bafenyi/zh/bafenyilib/request/http_config/RxService.java, line(s) 8,8 h/a/a/b/r0/g/e.java, line(s) 8,8 h/e/b/a/b/a0.java, line(s) 374,266,372,372
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdfp.snssdk.com) 通信。
{'ip': '124.115.10.169', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ad.toutiao.com) 通信。
{'ip': '124.115.10.169', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '盐城', 'latitude': '33.385559', 'longitude': '120.125282'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.8fenyi.cn) 通信。
{'ip': '124.115.10.169', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bds.snssdk.com) 通信。
{'ip': '124.115.10.169', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pay.8fenyi.cn) 通信。
{'ip': '121.4.213.124', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.8fenyi.cn) 通信。
{'ip': '124.115.10.169', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (platform.8fenyi.cn) 通信。
{'ip': '121.4.213.124', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.8fenyi.cn) 通信。
{'ip': '121.4.213.124', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apmlog.snssdk.com) 通信。
{'ip': '121.228.130.191', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。
{'ip': '124.115.10.169', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '盐城', 'latitude': '33.385559', 'longitude': '120.125282'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lf3-ttcdn-tos.pstatp.com) 通信。
{'ip': '124.115.10.169', 'country_short': 'CN', 'country_long': '中国', 'region': '山西', 'city': '太原', 'latitude': '37.869438', 'longitude': '112.561508'}