Regex Converter v1.0版本 - 安全评分 _南明离火移动安全分析平台

高危安全漏洞程序可被任意调试

[android:debuggable=true]
应用可调试标签被开启，这使得逆向工程师更容易将调试器挂接到应用程序上。这允许导出堆栈跟踪和访问调试助手类。

高危安全漏洞启用了调试配置。生产版本不能是可调试的

CODE

启用了调试配置。生产版本不能是可调试的
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/regex/tool/BuildConfig.java, line(s) 3,4

中危安全漏洞应用程序已启用明文网络流量

MANIFEST

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量，例如明文HTTP，FTP协议，DownloadManager和MediaPlayer。针对API级别27或更低的应用程序，默认值为“true”。针对API级别28或更高的应用程序，默认值为“false”。避免使用明文流量的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听传输的数据，并且可以在不被检测到的情况下修改它。

中危安全漏洞应用程序数据可以被备份

MANIFEST

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
Zx/C0288l.java, line(s) 69
Zx/C0289l.java, line(s) 69
Zx/fD.java, line(s) 320

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
Zx/tE.java, line(s) 77

中危安全漏洞应用程序使用不安全的随机数生成器

CODE

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
Zx/C0425qb.java, line(s) 14
Zx/C0426qb.java, line(s) 14
Zx/iG.java, line(s) 30

中危安全漏洞 IP地址泄露

CODE

IP地址泄露


Files:
Zx/iG.java, line(s) 183

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
Zx/C0469rs.java, line(s) 215
Zx/C0470rs.java, line(s) 215

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
Zx/AbstractC0289la.java, line(s) 17
Zx/AbstractC0290la.java, line(s) 17
Zx/C0004ae.java, line(s) 21
Zx/C0005ae.java, line(s) 21
Zx/C0026ba.java, line(s) 21
Zx/C0027ba.java, line(s) 21
Zx/C0191hj.java, line(s) 9
Zx/C0192hj.java, line(s) 9
Zx/C0212id.java, line(s) 51
Zx/C0213id.java, line(s) 51
Zx/C0221in.java, line(s) 36
Zx/C0222in.java, line(s) 36
Zx/C0279kr.java, line(s) 25
Zx/C0280kr.java, line(s) 25
Zx/C0363nu.java, line(s) 81
Zx/C0364nu.java, line(s) 81
Zx/C0372ob.java, line(s) 54,69
Zx/C0467rq.java, line(s) 432
Zx/C0468rq.java, line(s) 432
Zx/C0478sa.java, line(s) 21
Zx/C0479sa.java, line(s) 21
Zx/C0479sb.java, line(s) 31,58
Zx/C0480sb.java, line(s) 31,58
Zx/ComponentCallbacks2C0257jw.java, line(s) 196,201,203,209,212,227,234,383
Zx/ComponentCallbacks2C0258jw.java, line(s) 196,201,203,209,212,227,234,383
Zx/ComponentCallbacks2C0418pv.java, line(s) 59,189
Zx/ComponentCallbacks2C0419pv.java, line(s) 59,189
Zx/RunnableC0350nh.java, line(s) 63,141,351
Zx/RunnableC0351nh.java, line(s) 63,141,351
Zx/ViewTreeObserverOnPreDrawListenerC0220im.java, line(s) 19
Zx/ViewTreeObserverOnPreDrawListenerC0221im.java, line(s) 19
Zx/W.java, line(s) 41,55,124,147,161,167,172
Zx/aD.java, line(s) 29
Zx/bB.java, line(s) 35,175
Zx/bI.java, line(s) 30,40,51,83
Zx/bO.java, line(s) 23
Zx/bU.java, line(s) 50,64,69,74
Zx/cI.java, line(s) 143,159,174
Zx/cJ.java, line(s) 27
Zx/cO.java, line(s) 38
Zx/cS.java, line(s) 47,57
Zx/cX.java, line(s) 46
Zx/dP.java, line(s) 108
Zx/eA.java, line(s) 18
Zx/eZ.java, line(s) 36
Zx/fJ.java, line(s) 33
Zx/fM.java, line(s) 67
Zx/fR.java, line(s) 37,43
Zx/iW.java, line(s) 40
Zx/jB.java, line(s) 15
Zx/kZ.java, line(s) 55
Zx/lL.java, line(s) 31
Zx/lR.java, line(s) 50,53,59,66,71
Zx/nX.java, line(s) 129
Zx/oJ.java, line(s) 107,148
Zx/pE.java, line(s) 21
Zx/pH.java, line(s) 53,70,82,95,137,144,158,160,171,182
Zx/tD.java, line(s) 39,43,45,51,115

已通过安全项此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

CODE

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
Zx/eH.java, line(s) 93,92,100,91,91

已通过安全项此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

移动应用安全检测报告： Regex Converter v1.0

安全基线评分

安全基线评分 53/100

综合风险等级

风险等级评定

漏洞与安全项分布（%）

隐私风险

检测到的第三方跟踪器数量

检测结果分布

高危安全漏洞程序可被任意调试

高危安全漏洞启用了调试配置。生产版本不能是可调试的

中危安全漏洞应用程序已启用明文网络流量

中危安全漏洞应用程序数据可以被备份

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞应用程序使用不安全的随机数生成器

中危安全漏洞 IP地址泄露

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

安全提示信息应用程序记录日志信息,不得记录敏感信息

已通过安全项此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

已通过安全项此应用程序没有隐私跟踪程序

综合安全基线评分: ( Regex Converter 1.0)

移动应用安全检测报告： Regex Converter v1.0

安全基线评分

安全基线评分 53/100

综合风险等级

风险等级评定

漏洞与安全项分布（%）

隐私风险

检测到的第三方跟踪器数量

检测结果分布

高危安全漏洞 程序可被任意调试

高危安全漏洞 启用了调试配置。生产版本不能是可调试的

中危安全漏洞 应用程序已启用明文网络流量

中危安全漏洞 应用程序数据可以被备份

中危安全漏洞 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞 应用程序使用不安全的随机数生成器

中危安全漏洞 IP地址泄露

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

安全提示信息 应用程序记录日志信息,不得记录敏感信息

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

已通过安全项 此应用程序没有隐私跟踪程序

综合安全基线评分: ( Regex Converter 1.0)

高危安全漏洞程序可被任意调试

高危安全漏洞启用了调试配置。生产版本不能是可调试的

中危安全漏洞应用程序已启用明文网络流量

中危安全漏洞应用程序数据可以被备份

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞应用程序使用不安全的随机数生成器

安全提示信息应用程序记录日志信息,不得记录敏感信息

已通过安全项此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

已通过安全项此应用程序没有隐私跟踪程序