安全分析报告:
安全分数
安全分数 39/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
5
中危
12
信息
1
安全
1
关注
0
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 域配置不安全地配置为允许明文流量到达范围内的这些域。
Scope: android.bugly.qq.com
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/daimajia/numberprogressbar/BuildConfig.java, line(s) 3,5
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/gotop/eam/activity/LoadingH5Acticity.java, line(s) 340,339
高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: com/gotop/eam/utils/StaticFuncs.java, line(s) 119,150
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/baidu/b/g.java, line(s) 25,79,81 com/gotop/eam/GtApplication.java, line(s) 93 com/gotop/eam/activity/LoadingH5Acticity.java, line(s) 225,226,233,234 com/gotop/eam/utils/DataCleanManager.java, line(s) 16,24,58 com/gotop/eam/utils/FileHelper.java, line(s) 25,37,49,54 com/gotop/eam/utils/StaticFuncs.java, line(s) 274,330,266 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 120,183 com/yalantis/ucrop/util/FileUtils.java, line(s) 90 com/zhouyou/http/cache/RxCache.java, line(s) 303 com/zhouyou/http/subsciber/DownloadSubscriber.java, line(s) 92
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/baidu/b/c/b/b.java, line(s) 7
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/baidu/b/d/c.java, line(s) 9 com/tozny/crypto/android/AesCbcWithIntegrity.java, line(s) 340,345
中危 IP地址泄露
IP地址泄露 Files: com/gotop/eam/Constant.java, line(s) 23
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/gotop/eam/Constant.java, line(s) 9 com/gotop/eam/utils/PubProperty.java, line(s) 14,18,22,25,29,32
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/gotop/eam/activity/LoadingH5Acticity.java, line(s) 383,382
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/gotop/eam/db/SqliteBase.java, line(s) 6,7,138
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/baidu/b/d/b.java, line(s) 26 com/gotop/eam/utils/StaticFuncs.java, line(s) 416,426,450
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 百度地图的=> "com.baidu.lbsapi.API_KEY" : "sBG872OxHXkjtj96ytN6kl05k8gpuXxe" KcwWFAmjdFQR5OUiMyU3QIhAL3fOFmE4r8nz2gReNC8DLveIpIj47Mk0VRfM9jz
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/baidu/b/c.java, line(s) 140,148 com/baidu/b/g.java, line(s) 39 com/gotop/eam/db/MainDb.java, line(s) 67 com/gotop/eam/db/SqliteBase.java, line(s) 57 com/gotop/eam/utils/Aes.java, line(s) 109,110,112 com/gotop/eam/utils/FileHelper.java, line(s) 85,108,119,140 com/gotop/eam/utils/FileSizeUtil.java, line(s) 27,44,55 com/gotop/eam/utils/HbLogUtil.java, line(s) 53,43,80,84,70,62 com/gotop/eam/utils/StaticFuncs.java, line(s) 122 com/jakewharton/disklrucache/DiskLruCache.java, line(s) 108 com/tozny/crypto/android/AesCbcWithIntegrity.java, line(s) 376 com/yalantis/ucrop/UCropActivity.java, line(s) 201 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 121 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 132,172,217,95,138,152,159 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 104,52,83 com/yalantis/ucrop/util/EglUtils.java, line(s) 27 com/yalantis/ucrop/util/FileUtils.java, line(s) 62,98 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 56,63,74,82,114,124,136,150,164,170,174,179,185,189,292,55,62,73,81,113,123,135,149,163,169,173,178,184,188 com/yalantis/ucrop/view/TransformImageView.java, line(s) 218,235,125,79 com/zhouyou/http/EasyHttp.java, line(s) 416,421,430,435 com/zhouyou/http/body/UploadProgressRequestBody.java, line(s) 41,80 com/zhouyou/http/cache/RxCache.java, line(s) 91,60 com/zhouyou/http/cache/converter/GsonDiskConverter.java, line(s) 37,42,47,52,56,75,79,83,87,90 com/zhouyou/http/cache/converter/SerializableDiskConverter.java, line(s) 25,30,43,49,82 com/zhouyou/http/cache/core/CacheCore.java, line(s) 17,30,36,47 com/zhouyou/http/cache/stategy/BaseStrategy.java, line(s) 47,51,57,59,86,92 com/zhouyou/http/cookie/PersistentCookieStore.java, line(s) 129,138,141 com/zhouyou/http/func/RetryExceptionFunc.java, line(s) 53 com/zhouyou/http/https/HttpsUtils.java, line(s) 71,81,83,85,87,102,104,106,108,110,112 com/zhouyou/http/interceptor/BaseDynamicInterceptor.java, line(s) 112 com/zhouyou/http/interceptor/BaseExpiredInterceptor.java, line(s) 35 com/zhouyou/http/interceptor/CacheInterceptor.java, line(s) 36 com/zhouyou/http/interceptor/CacheInterceptorOffline.java, line(s) 30 com/zhouyou/http/interceptor/HeadersInterceptor.java, line(s) 29 com/zhouyou/http/model/HttpHeaders.java, line(s) 124 com/zhouyou/http/request/BaseRequest.java, line(s) 320,325 com/zhouyou/http/subsciber/BaseSubscriber.java, line(s) 20,36,41,43,47,53 com/zhouyou/http/subsciber/DownloadSubscriber.java, line(s) 53,59,109,100,128,148,163,164 com/zhouyou/http/utils/HttpLog.java, line(s) 66,82,94,106,118,130,142,154,166,178,190,202,214,226,238 com/zhouyou/http/utils/HttpUtil.java, line(s) 32 com/zhouyou/http/utils/RxUtil.java, line(s) 23,28,42,47,61,66 timber/log/Timber.java, line(s) 509,527
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/zhouyou/http/EasyHttp.java, line(s) 77,74 com/zhouyou/http/https/HttpsUtils.java, line(s) 79,161,41,77,77,159,159 com/zhouyou/http/request/BaseRequest.java, line(s) 192,397