应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Gopay v3.3.1
48
安全评分
安全基线评分
48/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
17
中危
2
信息
1
安全
隐私风险评估
3
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
17
安全提示信息
2
已通过安全项
1
重点安全关注
1
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b6/f.java, line(s) 52 f1/a.java, line(s) 50,55 t2/a.java, line(s) 85
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserActivity.java, line(s) 387,15 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/FlutterWebView.java, line(s) 131,8
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.gopay.wallt.mfr.MfrMessageActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (cn.jpush.android.ui.PopWinActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.jpush.android.ui.PushActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.jpush.android.service.JNotifyActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.android.service.JTransitActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 高优先级 Intent(1000) - {1} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: l4/c.java, line(s) 4 n1/q1.java, line(s) 6 o2/p0.java, line(s) 4 r2/b.java, line(s) 13 v8/a.java, line(s) 3 v8/b.java, line(s) 3 w8/a.java, line(s) 3
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: d8/i.java, line(s) 129,151 d8/j.java, line(s) 139,148 l1/a.java, line(s) 36
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/pichillilorenzo/flutter_inappwebview_android/credential_database/URLCredentialContract.java, line(s) 8,10 com/pichillilorenzo/flutter_inappwebview_android/types/ClientCertResponse.java, line(s) 89 com/pichillilorenzo/flutter_inappwebview_android/types/HttpAuthResponse.java, line(s) 81 com/pichillilorenzo/flutter_inappwebview_android/types/URLCredential.java, line(s) 91 o/b.java, line(s) 17
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b6/d.java, line(s) 14 q6/a.java, line(s) 64
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/pichillilorenzo/flutter_inappwebview_android/credential_database/CredentialDatabaseHelper.java, line(s) 4,5,18,19,25,26,36,37 m6/i.java, line(s) 9,10,11,12,13,518 p4/p.java, line(s) 4,5,75,98 p4/q.java, line(s) 5,6,7,107,108,28
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/b.java, line(s) 260 m7/q.java, line(s) 459,627 o9/c.java, line(s) 75
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 极光推送的=> "JPUSH_CHANNEL" : "developer-default" 极光推送的=> "JPUSH_APPKEY" : "adebf2d00ad99339517ddc3b" "library_zxingandroidembedded_author" : "JourneyApps" "library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/" edef8ba9-79d6-4ace-a3c8-27dcd51d21ed 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/l.java, line(s) 32 a1/a.java, line(s) 87 b0/e.java, line(s) 56,87 b1/h.java, line(s) 1018 b6/f.java, line(s) 38,60,77 b8/a.java, line(s) 18,21 c0/a.java, line(s) 56,68,80,94 c4/a.java, line(s) 45,50,37 com/journeyapps/barcodescanner/a.java, line(s) 588,638,120,285,387,449 com/journeyapps/barcodescanner/b.java, line(s) 112,183,266 com/pichillilorenzo/flutter_inappwebview_android/MyCookieManager.java, line(s) 235,253 com/pichillilorenzo/flutter_inappwebview_android/Util.java, line(s) 240,197,203,210,278 com/pichillilorenzo/flutter_inappwebview_android/chrome_custom_tabs/ChromeCustomTabsActivity.java, line(s) 185 com/pichillilorenzo/flutter_inappwebview_android/chrome_custom_tabs/CustomTabsHelper.java, line(s) 39 com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserActivity.java, line(s) 285,383 com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserManager.java, line(s) 157 com/pichillilorenzo/flutter_inappwebview_android/service_worker/ServiceWorkerManager.java, line(s) 74 com/pichillilorenzo/flutter_inappwebview_android/types/WebViewAssetLoaderExt.java, line(s) 60 com/pichillilorenzo/flutter_inappwebview_android/webview/JavaScriptBridgeInterface.java, line(s) 62,85,117,142 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/DisplayListenerProxy.java, line(s) 38 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/FlutterWebView.java, line(s) 126 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebView.java, line(s) 396,412,415,1038,1831,1842,1847 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient.java, line(s) 238,254,660,700,778,835,892,957,997,1065 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient.java, line(s) 134,312,372,414,424,454,464,475 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClientCompat.java, line(s) 135,312,380,422,432,462,472,483 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewRenderProcessClient.java, line(s) 33,74 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InputAwareWebView.java, line(s) 60,68,76,101,148 d1/q.java, line(s) 30,107,112,179,187 d6/b.java, line(s) 46,50,58,66,115,137,142,72,86 d8/j.java, line(s) 192 e/e.java, line(s) 167 e/f.java, line(s) 2396,1611,1617,2135,2448,1335 e/j.java, line(s) 98 e/m.java, line(s) 91,105,115 e/p.java, line(s) 55,65,80,90,107,119,131,140,153,167,179 e/s.java, line(s) 53,68 e0/b.java, line(s) 64 e0/h0.java, line(s) 843,796,842 e0/k.java, line(s) 21,30 e0/l0.java, line(s) 41 e0/n0.java, line(s) 50,65,86,113,134,155,176 e0/p.java, line(s) 69 e0/t0.java, line(s) 372,388,128,140,147,156,43,62,363 e4/a.java, line(s) 81,92 e5/e.java, line(s) 35,77 e5/g.java, line(s) 39,32 e8/j.java, line(s) 14,30,44 f0/b.java, line(s) 190 f1/b.java, line(s) 83 f4/j.java, line(s) 16,15 f4/k.java, line(s) 75,48,57,92,124 f5/a.java, line(s) 13 h1/a.java, line(s) 17 h1/n.java, line(s) 57,92,96,161,164,269,282,288,296,366 h1/o.java, line(s) 75,79,84 h1/p.java, line(s) 46 i/g.java, line(s) 169,212,271 i0/c.java, line(s) 139 i1/b.java, line(s) 101 i1/g.java, line(s) 123,127 i6/c.java, line(s) 7,18,14 j/c.java, line(s) 277 j0/c.java, line(s) 51,60 j0/h.java, line(s) 51,60 j0/j.java, line(s) 34,33 j3/r.java, line(s) 40,35,30,25 j6/a.java, line(s) 68,114,123,125,128,136,138,145,150,166,192,234,248,259,275,291,317,361,363,370,232,246,257,273,289 j6/b.java, line(s) 52,80,98,104,109,117,124,129,134,142,149,169,176,183,187,190,202,210,392,397,403,423,443,468,253 k/d0.java, line(s) 84,130,144,158,167,441 k/d1.java, line(s) 106 k/e1.java, line(s) 86 k/g1.java, line(s) 28,39,58,60,63 k/k0.java, line(s) 413,223,228,235,328,526 k/m0.java, line(s) 173,207 k/n0.java, line(s) 188,49,61,99,128,395 k/q0.java, line(s) 106,145,371,127,180,235,249,309,375,378,431 k/r0.java, line(s) 38 k/w.java, line(s) 47 k/z.java, line(s) 149,178,183,188 k1/b.java, line(s) 34 k6/m.java, line(s) 98 l6/a.java, line(s) 83,106,124 l6/c.java, line(s) 24,25,29,34,40,61,63,69,79,103,109,123,129,132,134,140,151,154,156,165,168,179,185 l6/g.java, line(s) 46,62,81,98,132,50,69,86,102 l6/h.java, line(s) 65,84,310,128,222,252,218,224,266,274 l6/l.java, line(s) 28 l6/n.java, line(s) 28 l6/q.java, line(s) 39,40 m3/a.java, line(s) 182,215 m3/b.java, line(s) 41,56,66,77 m3/c.java, line(s) 17,30,43,53 m6/c0.java, line(s) 81,130,179,242,257,315,328,334,351,356,444,453,85,448 m6/e0.java, line(s) 25 m6/i.java, line(s) 176,312,328,374,447,524,581,547 m7/o0.java, line(s) 114,127,283,82,244 m7/q.java, line(s) 109,118,125,164,170,176,183,368,478,494,509,511,542,544,615,652,655,702,708,804,842,882,913,1049,1053,574 m7/s.java, line(s) 89,100,114,124 n3/i.java, line(s) 140 n3/k.java, line(s) 28,23 o/c.java, line(s) 352 o0/a.java, line(s) 368,949,1079,1199,1202,1211,1217,1273,1356,1402,1584,1640,1697,1777,1813,1890,1977,2142,2224,2270,2321,2341,2354,2386,2424,2491,2536,2541,2547,2611,133,1132,1575,1599,1857,1871,2127,2504,2508,2512 o0/b.java, line(s) 56 p4/e.java, line(s) 53,77,81 p4/m1.java, line(s) 41,52,66,83,38,51,65 p4/v0.java, line(s) 30 r6/a.java, line(s) 76,104 r6/e.java, line(s) 197,208,213,217,224,380,385,389,396,589,626,710,949 s4/a.java, line(s) 72,76 s6/b.java, line(s) 10,14,28,32,36 t/d.java, line(s) 91,247 t/h.java, line(s) 27 t/j.java, line(s) 613,612 t/r.java, line(s) 66 t0/b.java, line(s) 53,68,76,100,198,217,328,334,356,60 t3/g.java, line(s) 35 t4/a.java, line(s) 140,98 u0/c.java, line(s) 82 v/c.java, line(s) 56 v/d.java, line(s) 66 v/h.java, line(s) 136,145,243 v3/e.java, line(s) 113,158,165 v3/i.java, line(s) 81,64,124,130,139,142 v3/j.java, line(s) 43,79 v3/m.java, line(s) 27 v3/t.java, line(s) 44 v3/x.java, line(s) 25 w/d.java, line(s) 389,394 w/f.java, line(s) 70 w/g.java, line(s) 41,73 w/h.java, line(s) 56,224 w/k.java, line(s) 82,85 w/l.java, line(s) 96 x/a.java, line(s) 106,115,165,175 x/e.java, line(s) 45,68 x3/b1.java, line(s) 22,37 x3/e0.java, line(s) 121,437 x3/f.java, line(s) 266,385 x3/h0.java, line(s) 49 x3/i0.java, line(s) 48 x3/w0.java, line(s) 50 z0/c.java, line(s) 590,811,825,845 z3/a.java, line(s) 18 z3/a1.java, line(s) 36 z3/b0.java, line(s) 95,98,127,130,133,164,169 z3/c.java, line(s) 315,333,431,435,439,445 z3/c1.java, line(s) 45 z3/e0.java, line(s) 26 z3/i1.java, line(s) 53,58 z3/l1.java, line(s) 50 z3/v0.java, line(s) 33 z3/y0.java, line(s) 101 z3/z0.java, line(s) 28 z5/a.java, line(s) 16
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: f1/b.java, line(s) 46,46
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: g6/c.java, line(s) 39,38,35
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。
{'ip': '180.163.150.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
综合安全基线评分总结
Gopay v3.3.1
Android APK
48
综合安全评分
中风险