安全分析报告: PIZARRA v1.0

安全分数


安全分数 52/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 1
中危 5
信息 1
安全 1
关注 0

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/pajaro/pernas/MainActivity.java, line(s) 407,461

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/pajaro/pernas/MainActivity.java, line(s) 781

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/pajaro/pernas/MainActivity.java, line(s) 781

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/pajaro/pernas/MainActivity.java, line(s) 1152,1129

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/pajaro/pernas/MainActivity.java, line(s) 844

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a/b/c/a/h.java, line(s) 862
a/b/d/a/b0.java, line(s) 70
a/b/d/a/c.java, line(s) 68,90,99
a/b/d/a/d.java, line(s) 119
a/b/d/a/g.java, line(s) 24,33
a/b/d/a/i.java, line(s) 206,214,249,354,362
a/b/d/a/n.java, line(s) 600,601,612,825,830,1130,1137,1155,1224,1286,1295,1303,1310,1356,1592,1676,1719,1756,1777,1878,1885,1899,1911,2013,2058,2068,2074,2282,2356,2433,2444,2463,2498,2603,2611,2634,2765,2808,1349,1736
a/b/d/a/q.java, line(s) 92
a/b/d/a/v.java, line(s) 75,82,175,200,219,241,274,282,305,322,338,386,317,333,349
a/b/d/a/w.java, line(s) 27
a/b/d/b/d/b.java, line(s) 60,68,76
a/b/d/c/b.java, line(s) 407,412
a/b/d/c/e.java, line(s) 39,71
a/b/d/c/f.java, line(s) 52,114
a/b/d/c/h.java, line(s) 89
a/b/d/c/i/a.java, line(s) 36,45,60,70
a/b/d/c/i/e.java, line(s) 47,84
a/b/d/h/e.java, line(s) 17
a/b/d/i/c.java, line(s) 57
a/b/d/i/e.java, line(s) 50,59
a/b/d/i/g.java, line(s) 99
a/b/d/i/p.java, line(s) 475,482
a/b/d/i/q.java, line(s) 21,32
a/b/d/i/s.java, line(s) 26,36,46,55,64,73,83
a/b/e/b/a/b.java, line(s) 97
a/b/e/e/g.java, line(s) 121,157,234
com/pajaro/pernas/MainActivity.java, line(s) 345

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( PIZARRA 1.0)