安全分析报告: 10000社区 v8.00.51

安全分数


安全分数 53/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 3
中危 11
信息 1
安全 3
关注 3

高危 域配置不安全地配置为允许明文流量到达范围内的这些域。 

Scope:
kt.wdtszkj.com
61.183.0.38
199.hb10000sale.com
im.189.cn

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/dxwt/community/extension/tool/g.java, line(s) 876,903
k0/c.java, line(s) 30,79

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/dxwt/community/activity/main/ChromeActivity.java, line(s) 166,10,11
com/dxwt/community/activity/main/ChromeActivityOnlyLook.java, line(s) 101,10,11
com/msec/net/WebKit/WebView.java, line(s) 129,146,149,27,162,203

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/dxwt/community/extension/tool/a.java, line(s) 217
com/dxwt/community/rainbow/common/g.java, line(s) 83,90,103,108,115,121
com/yalantis/ucrop/util/FileUtils.java, line(s) 87
l0/c.java, line(s) 12,24,28

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/aliyun/sls/android/sdk/c.java, line(s) 150
j0/a.java, line(s) 82
k0/b.java, line(s) 11
k0/c.java, line(s) 29,78

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/dxwt/community/activity/main/ChromeActivityOnlyLook.java, line(s) 129,72
com/msec/MSecClient.java, line(s) 620,619
com/msec/net/WebKit/WebView.java, line(s) 206,207,205

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
u1/a.java, line(s) 4

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/dxwt/community/activity/main/MainWeexActivity.java, line(s) 642,626

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/aliyun/sls/android/sdk/c.java, line(s) 136
com/dxwt/community/extension/tool/c.java, line(s) 113
com/dxwt/community/rainbow/common/k.java, line(s) 29

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
友盟统计的=> "UMENG_MESSAGE_SECRET" : "85bcbdc3a04f816557959b1fa4cade06"
凭证信息=> "baidu_key" : "P37mD9mWJ5XQ1UqBKspOhg5Msh13bOE"
友盟统计的=> "UMENG_CHANNEL" : "Community10000"
友盟统计的=> "UMENG_APPKEY" : "5333f32a56240b43b2005720"
华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=10104851"
5333f32a56240b43b2005720
85bcbdc3a04f816557959b1fa4cade06
b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649
DQFzvDH3f0q6yGhKbqtMwnaiAZI78lTx

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/aliyun/sls/android/sdk/a.java, line(s) 126,135,245,254,296,315
com/bangcle/antihijack/base/ProxyInstrumentation.java, line(s) 50,228,233
com/bangcle/antihijack/base/SysHelper.java, line(s) 164,165,166
com/dxwt/community/extension/tool/g.java, line(s) 895
com/dxwt/community/rainbow/common/i.java, line(s) 54,61
com/rainey/rainbow/common/a.java, line(s) 118
com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 139
com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 126,134,167,170
com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 56,69
com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 158,170,197,209,220,235,244,296,314,316,329,340,345,354
com/yalantis/ucrop/view/TransformImageView.java, line(s) 266
y1/b.java, line(s) 90

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/msec/CertHelper.java, line(s) 88,75,117,86,86

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
h0/b.java, line(s) 27,27,27,27,27,27

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hb.10000shequ.com) 通信。 

{'ip': '172.67.74.152', 'country_short': 'CN', 'country_long': '中国', 'region': '湖北', 'city': '黄冈', 'latitude': '30.450001', 'longitude': '114.800003'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。 

{'ip': '172.67.74.152', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.zgdxhbkf.com) 通信。 

{'ip': '172.67.74.152', 'country_short': 'CN', 'country_long': '中国', 'region': '湖北', 'city': '黄冈', 'latitude': '30.450001', 'longitude': '114.800003'}

安全评分: ( 10000社区 8.00.51)