安全分析报告:
安全分数
安全分数 39/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
5
中危
12
信息
1
安全
1
关注
16
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 63,10
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 49,23
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 68,72,5
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 92,18,19,20
高危 Malicious domain found - m.taobao.com
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (io.dcloud.PandoraEntryActivity) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.miui.securitycenter.permission.AppPermissionsEditor [android:exported=true] 发现一个 Activity被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: c/a/c/g0/n/a.java, line(s) 24 c/a/c/g0/n/d.java, line(s) 9 c/a/c/v.java, line(s) 18 com/baodan/tbauth/WebActivity.java, line(s) 68 com/hjq/permissions/PermissionFragment.java, line(s) 11
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 27,28,30,55,115 com/just/agentweb/AgentWebUtils.java, line(s) 290,365 com/lzy/okgo/convert/FileConvert.java, line(s) 48,56 com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,44,44,53 com/orhanobut/logger/CsvFormatStrategy.java, line(s) 47
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/baodan/tbauth/TaoBaoConstant.java, line(s) 8 com/lzy/okgo/cache/CacheEntity.java, line(s) 14,86 com/lzy/okgo/exception/CacheException.java, line(s) 15,11
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 27 com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 38
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: XI/K0/XI/XI.java, line(s) 78
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/lzy/okgo/db/DBHelper.java, line(s) 4,5,32 com/lzy/okgo/db/DBUtils.java, line(s) 4,16
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/baodan/tbauth/taobao/utils/MD5Util.java, line(s) 11 com/just/agentweb/AgentWebUtils.java, line(s) 569
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 高德地图的=> "com.amap.api.v2.apikey" : "a00fd90e90e5f57b8ca99bb7b14bf150" DCloud(数字天堂)的=> "dcloud_appkey" : "e6de0ef13e382bbef71e9680f5a490f3" "dcloud_permissions_reauthorization" : "reauthorize" 123456789QWERTYUIOPASDFGHJKLZXCVBNM 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69 androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 77,85,168,198 androidtranscoder/engine/QueuedMuxer.java, line(s) 95,97,105 androidtranscoder/engine/TextureRender.java, line(s) 50,62,63,78,82,100 androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 20 com/baodan/tbauth/TbauthModule.java, line(s) 74,92 com/baodan/tbauth/WebActivity.java, line(s) 212,237,255 com/baodan/tbauth/taobao/utils/HttpUtils.java, line(s) 377 com/dmcbig/mediapicker/PreviewActivity.java, line(s) 261 com/just/agentweb/AgentWebUtils.java, line(s) 157,130,131,137,150 com/just/agentweb/AgentWebView.java, line(s) 58,86,96,276,40,264,268 com/just/agentweb/DefaultChromeClient.java, line(s) 278,285 com/just/agentweb/JsCallJava.java, line(s) 129,70,43,83 com/just/agentweb/JsCallback.java, line(s) 66 com/just/agentweb/LogUtils.java, line(s) 10,25,39,15,33 com/lzy/okgo/utils/OkLogger.java, line(s) 42,53,59,65,71 e/a/a/b/b/t/a.java, line(s) 36 tv/cjump/jni/NativeBitmapFactory.java, line(s) 112,158 tv/cjump/jni/a.java, line(s) 56
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: c/a/c/g0/c.java, line(s) 120,119,118,118 com/baodan/tbauth/taobao/utils/HttpUtils.java, line(s) 218,221 com/lzy/okgo/https/HttpsUtils.java, line(s) 126,75,124,124 com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 90,92 g/x.java, line(s) 243,232,241,241
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (rate.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5api.m.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (buyertrade.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (passport.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5api.m.tmall.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (myseller.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (member1.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.zy5158.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pages.tmall.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.m.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (refund2.taobao.com) 通信。
{'ip': '59.82.121.73', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}