移动应用安全检测报告:
安全基线评分
安全基线评分 54/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
0
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
3
中危安全漏洞
7
安全提示信息
1
已通过安全项
3
重点安全关注
4
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jingdong/jdma/a/a/b.java, line(s) 13
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jingdong/jdma/a/a/b.java, line(s) 13
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/jingdong/aura/provided/api/BuildConfig.java, line(s) 3,6 com/jingdong/aura/serviceloder/BuildConfig.java, line(s) 3,6
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/jingdong/Manto.java, line(s) 48 com/jingdong/aura/XTimeCursor.java, line(s) 8 com/jingdong/aura/xtime/DownGradeCursor.java, line(s) 10 com/jingdong/content/component/widget/immersionbanner/ClickEventConstants.java, line(s) 4,5,6,7 gh2/a.java, line(s) 173
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/jingdong/jdma/common/utils/f.java, line(s) 5
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/jingdong/jdma/b/a.java, line(s) 6,7,334
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jingdong/jdma/a/a/d.java, line(s) 12
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.appinstall.APP_KEY" : "ymmmtjq4" "agora_app_id" : "0b01e68e03524d1b920d5c9c2e3185e0"
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/jingdong/aura/DownGradeUtils.java, line(s) 43,54,77,63 com/jingdong/aura/XTimeProvider.java, line(s) 50 com/jingdong/aura/a/b/l/e.java, line(s) 79,87 com/jingdong/aura/wrapper/d/b.java, line(s) 134,136,137,140 com/jingdong/aura/xtime/DownGradeCursor.java, line(s) 32 com/jingdong/aura/xtime/DownGradeProvider.java, line(s) 50 com/jingdong/aura/xtime/DownGradeWrapper.java, line(s) 28,39,57,19,48,81 com/jingdong/cleanmvp/ui/BaseFragment.java, line(s) 84,95,101,129,135,139,147,183,201,213,231,248,271,298,305,328,336,348,366,396,467,500,156,224,237,241,281,404,432 com/jingdong/cleanmvp/ui/MvpBaseActivity.java, line(s) 61 com/jingdong/content/component/util/VolumeChangeHelper.java, line(s) 39 com/jingdong/content/component/widget/autoscrollrecycler/AutoPollRecyclerView.java, line(s) 55,64,117,128 com/jingdong/content/component/widget/immersionbanner/FaXianImmersionBannerAdapter.java, line(s) 223 com/jingdong/content/component/widget/immersionbanner/FaXianImmersionBannerView.java, line(s) 277,306 com/jingdong/content/component/widget/ptr/ImmsersiveJDLoadingLayout.java, line(s) 90,97,167,188,205,214,225,239,247,255,259 com/jingdong/sdk/platform/business/personal/Init.java, line(s) 12 com/jingdong/sdk/platform/business/personal/common/ImageTools.java, line(s) 30,36,53 com/jingdong/sdk/platform/business/personal/common/PersonalCommonUtil.java, line(s) 32 com/jingdong/sdk/platform/business/personal/floor/AbstractPersonalFloor.java, line(s) 53 com/jingdong/sdk/platform/business/personal/floor/CommonBannerFloor.java, line(s) 131,143,235,241,272,280 com/jingdong/sdk/platform/business/personal/floor/CommonMultiIconFloor.java, line(s) 112,133,143,176,186,193,205,305,311,238 com/jingdong/sdk/platform/business/personal/floor/adapter/CommonMultiIconAdapter.java, line(s) 117,126 com/jingdong/sdk/platform/business/puppet/Init.java, line(s) 13 com/jingdong/sdk/platform/business/viewholder/CommonDViewHolderB.java, line(s) 339 com/jingdong/sdk/platform/business/views/JDViewPager.java, line(s) 45
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/jingdong/aura/wrapper/a.java, line(s) 143,18,18,18,18,18
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/jingdong/jdma/http/JDMAHttp.java, line(s) 64,69
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (stream-outside.jd.com) 通信。
{'ip': '36.110.180.70', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.m.jd.com) 通信。
{'ip': '106.39.166.126', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (heracles.jd.com) 通信。
{'ip': '106.39.166.126', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (uranus.jd.com) 通信。
{'ip': '106.39.166.126', 'country_short': 'CN', 'country_long': '中国', 'region': '湖南', 'city': '长沙', 'latitude': '28.200001', 'longitude': '112.966667'}