安全分析报告:
安全分数
安全分数 12/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
62
中危
18
信息
2
安全
1
关注
9
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.jtjsb.bookkeeping.activity.MainActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.LogInActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.RetrievePasswordActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.ChangePasswordActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.ScanActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.MemberManagementActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.SettingActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.ThemeSkinningActvity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.InvitationJoinActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.WriteAnAccountActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.AddBookActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.AddAssetStewardActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.CalendarActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.MemberCentreActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.JoinMembershipActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.wxapi.WXEntryActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.wxapi.WXEntryActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.jtjsb.bookkeeping.wxapi.WXPayEntryActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.wxapi.WXPayEntryActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.jtjsb.bookkeeping.activity.BillingDetailsActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.CategoryManagementActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.SynchronousDataActviity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.SwitchCurrencyActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.ExchangeRateCalculatorActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.AssetStewardActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.CalculatorActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.InvoiceAssistantActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.AddInvoiceAssistantActvity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.InvoiceDetailsActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.PasswordUnlockActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.FingerprintActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.PhoneNumberBindingActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.GesturePasswordActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.NumericPasswordActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.ExportDataActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.AboutActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.ShareActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.DesktopWidgetDescriptionActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.SuggestListActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.SuAddActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.SuDetailsActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.SuRebackActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.ImagesVIewActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.jtjsb.bookkeeping.activity.BrowserUsActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (cn.finalteam.rxgalleryfinal.ui.activity.MediaActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.alipay.sdk.app.PayResultActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.alipay.sdk.app.AlipayResultActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.alipay.sdk.app.AlipayResultActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.ss.android.socialbase.appdownloader.view.DownloadSizeLimitActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.ss.android.socialbase.appdownloader.view.DownloadTaskDeleteActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.ss.android.downloadlib.activity.TTDelegateActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTLandingPageActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTPlayableLandingPageActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTVideoLandingPageActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTRewardVideoActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTRewardExpressVideoActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTFullScreenVideoActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTFullScreenExpressVideoActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bytedance.sdk.openadsdk.activity.TTDelegateActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/gtdev5/geetolsdk/mylibrary/util/des/DesUtil.java, line(s) 18,34
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jtjsb/bookkeeping/widget/fingerprint/CryptoObjectCreator.java, line(s) 113
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Activity (com.jtjsb.bookkeeping.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.jtjsb.bookkeeping.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.jtjsb.bookkeeping.widget.TestWidgetProvider) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.ss.android.socialbase.downloader.downloader.IndependentProcessDownloadService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Broadcast Receiver (com.bytedance.embedapplog.collector.Collector) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/CaptureManager.java, line(s) 240 com/yanzhenjie/permission/checker/RecordAudioTest.java, line(s) 20 jxl/write/biff/FileDataOutput.java, line(s) 14
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/gtdev5/geetolsdk/mylibrary/contants/Contants.java, line(s) 14 com/gtdev5/geetolsdk/mylibrary/util/des/DesUtil.java, line(s) 13 com/jtjsb/bookkeeping/bean/LoginInformationBean.java, line(s) 76 com/jtjsb/bookkeeping/utils/CodeUtils.java, line(s) 23,19,25,34 com/pgl/sys/ces/c/a.java, line(s) 24 com/pgl/sys/ces/c/b.java, line(s) 25 org/jsoup/helper/W3CDom.java, line(s) 47 org/jsoup/nodes/Comment.java, line(s) 10 org/jsoup/nodes/DocumentType.java, line(s) 11,12,14
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/github/mikephil/charting/charts/Chart.java, line(s) 727,742 com/github/mikephil/charting/utils/FileUtils.java, line(s) 22,117 com/gtdev5/geetolsdk/mylibrary/util/DeviceUtils.java, line(s) 108,109 com/gtdev5/geetolsdk/mylibrary/util/GTDownloadUtils.java, line(s) 47 com/jtjsb/bookkeeping/activity/ExportDataActivity.java, line(s) 190 com/jtjsb/bookkeeping/bean/Config.java, line(s) 23 com/jtjsb/bookkeeping/feed/UriTool.java, line(s) 43,69,83,87,92 com/jtjsb/bookkeeping/utils/AppConfig.java, line(s) 52,60,67,72 com/jtjsb/bookkeeping/utils/DownloadUtil.java, line(s) 47 com/pgl/sys/ces/a/a.java, line(s) 37 com/ss/android/downloadlib/a/d/a.java, line(s) 17 com/tencent/a/a/a/a/b.java, line(s) 22,24,36,45 com/yanzhenjie/permission/FileProvider.java, line(s) 312,169 com/yanzhenjie/permission/checker/StorageReadTest.java, line(s) 12 com/yanzhenjie/permission/checker/StorageWriteTest.java, line(s) 12
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/gtdev5/geetolsdk/mylibrary/util/DeviceUtils.java, line(s) 62 com/gtdev5/geetolsdk/mylibrary/util/MD5Tools.java, line(s) 10 com/gtdev5/geetolsdk/mylibrary/util/Utils.java, line(s) 37 com/ss/android/downloadlib/d/h.java, line(s) 38
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/gtdev5/geetolsdk/mylibrary/util/Utils.java, line(s) 29 com/scwang/smartrefresh/header/FunGameBattleCityHeader.java, line(s) 15 com/scwang/smartrefresh/header/TaurusHeader.java, line(s) 26 com/scwang/smartrefresh/header/storehouse/StoreHouseBarItem.java, line(s) 8 org/jsoup/helper/DataUtil.java, line(s) 15
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/raizlabs/android/dbflow/sql/language/BaseQueriable.java, line(s) 3,82 com/raizlabs/android/dbflow/structure/database/AndroidDatabase.java, line(s) 4,53,54 com/raizlabs/android/dbflow/structure/database/AndroidDatabaseStatement.java, line(s) 5,6,35 com/raizlabs/android/dbflow/structure/database/BaseDatabaseHelper.java, line(s) 3,60,71,88,167,174
中危 IP地址泄露
IP地址泄露 Files: com/ss/android/downloadlib/a/k.java, line(s) 24 com/yanzhenjie/permission/checker/SipTest.java, line(s) 20
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/gtdev5/geetolsdk/mylibrary/http/HttpUtils.java, line(s) 58 com/pgl/sys/ces/c.java, line(s) 11
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "appkey" : "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" 47859bbc43b970e256310058e3214568 6X8Y4XdM2Vhvn0KfzcEatGnWaNU= 596f823f283d4af73ead3ea6
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/app/hubert/guide/core/GuideLayout.java, line(s) 209 com/bytedance/embed_device_register/DrLogWriter.java, line(s) 24,34,29,19,39 com/github/mikephil/charting/charts/BarChart.java, line(s) 69 com/github/mikephil/charting/charts/BarLineChartBase.java, line(s) 269,280,295,301,460,464 com/github/mikephil/charting/charts/Chart.java, line(s) 375,190,208,351,852,856,860 com/github/mikephil/charting/charts/CombinedChart.java, line(s) 80 com/github/mikephil/charting/charts/HorizontalBarChart.java, line(s) 150,91,95 com/github/mikephil/charting/components/AxisBase.java, line(s) 157 com/github/mikephil/charting/data/ChartData.java, line(s) 263 com/github/mikephil/charting/data/CombinedData.java, line(s) 205,212,219 com/github/mikephil/charting/data/LineDataSet.java, line(s) 106,119 com/github/mikephil/charting/data/PieEntry.java, line(s) 61,67 com/github/mikephil/charting/listener/BarLineChartTouchListener.java, line(s) 318 com/github/mikephil/charting/renderer/CombinedChartRenderer.java, line(s) 106 com/github/mikephil/charting/renderer/ScatterChartRenderer.java, line(s) 58 com/github/mikephil/charting/utils/FileUtils.java, line(s) 44,68,94,108,122,133,149,168,181 com/github/mikephil/charting/utils/Utils.java, line(s) 51,70,79 com/gtdev5/geetolsdk/mylibrary/base/BaseLaunchActivity.java, line(s) 195,201 com/gtdev5/geetolsdk/mylibrary/http/HttpUtils.java, line(s) 210,229,368 com/gtdev5/geetolsdk/mylibrary/util/AliOssAdvanceTool.java, line(s) 301,302,303,304 com/gtdev5/geetolsdk/mylibrary/util/AliOssTool.java, line(s) 108,109,110,111,173,174,175,176,216,217,218,219 com/gtdev5/geetolsdk/mylibrary/util/CPResourceUtils.java, line(s) 14 com/gtdev5/geetolsdk/mylibrary/util/DataSaveUtils.java, line(s) 160 com/gtdev5/geetolsdk/mylibrary/util/MobileInfoUtils.java, line(s) 112 com/gtdev5/geetolsdk/mylibrary/util/SpUtils.java, line(s) 33 com/gtdev5/geetolsdk/mylibrary/util/ToastUtils.java, line(s) 17 com/gtdev5/geetolsdk/mylibrary/util/des/DesUtil.java, line(s) 21 com/gtdev5/geetolsdk/mylibrary/widget/GTDownloadApkDialog.java, line(s) 83 com/gtdev5/geetolsdk/mylibrary/widget/roundeimage/RoundedDrawable.java, line(s) 102 com/gtdev5/geetolsdk/mylibrary/widget/roundeimage/RoundedImageView.java, line(s) 269,309 com/hp/hpl/sparta/DefaultLog.java, line(s) 9,14,19 com/hp/hpl/sparta/ParseCharStream.java, line(s) 640 com/hp/hpl/sparta/ParseException.java, line(s) 29 com/journeyapps/barcodescanner/CameraPreview.java, line(s) 648,671,128,239,350,764,519,744 com/journeyapps/barcodescanner/CaptureManager.java, line(s) 80,95,246 com/journeyapps/barcodescanner/DecoderThread.java, line(s) 121 com/journeyapps/barcodescanner/camera/AutoFocusManager.java, line(s) 54,77,94 com/journeyapps/barcodescanner/camera/CameraInstance.java, line(s) 25,37,52,65,29,44,57,69 com/journeyapps/barcodescanner/camera/CameraManager.java, line(s) 53,66,336,173,203,241,170,175,255,263 com/journeyapps/barcodescanner/camera/CenterCropStrategy.java, line(s) 27 com/journeyapps/barcodescanner/camera/FitCenterStrategy.java, line(s) 27 com/journeyapps/barcodescanner/camera/LegacyPreviewScalingStrategy.java, line(s) 41,42,72 com/journeyapps/barcodescanner/camera/PreviewScalingStrategy.java, line(s) 21,22 com/jtjsb/bookkeeping/activity/MainActivity.java, line(s) 233,236,368,371 com/jtjsb/bookkeeping/adset/ExecuteTaskManager.java, line(s) 101,29,32,175,211,224,272,275,34,67,142,146,148,165,203,205,208,216,218,265,270,285,287,138,151,158,162,173,191,240,248,252 com/jtjsb/bookkeeping/adset/TTBannerAdUtil.java, line(s) 210,223,237,243,249,256,350,61,66,91,96,101,106,107,119,128,133,138,143,148,172,178,184,303 com/jtjsb/bookkeeping/app/MyApplication.java, line(s) 127 com/jtjsb/bookkeeping/bean/BaseSplashActivity.java, line(s) 206,212,360 com/jtjsb/bookkeeping/feed/AliOssBatchPicUtils.java, line(s) 324,325,326,327 com/jtjsb/bookkeeping/feed/SuAddActivity.java, line(s) 269 com/jtjsb/bookkeeping/feed/SuRebackActivity.java, line(s) 232 com/jtjsb/bookkeeping/utils/PermissionUtils_Check.java, line(s) 255,261 com/jtjsb/bookkeeping/widget/DownloadApkDialog.java, line(s) 90 com/jtjsb/bookkeeping/widget/GesturePassword/LockPatternViewGroup.java, line(s) 177,184 com/jtjsb/bookkeeping/widget/slidr/util/ViewDragHelper.java, line(s) 773 com/orhanobut/logger/AndroidLogAdapter.java, line(s) 11,16,26,31,21,36 com/pgl/sys/a/b.java, line(s) 35 com/pgl/sys/ces/b.java, line(s) 252 com/raizlabs/android/dbflow/config/FlowLog.java, line(s) 20,38,48,26,14,32,45 com/scwang/smartrefresh/layout/SmartRefreshLayout.java, line(s) 1746 com/tencent/a/a/a/a/b.java, line(s) 21,43,49,29,55 com/tencent/a/a/a/a/c.java, line(s) 31,45 com/tencent/a/a/a/a/d.java, line(s) 16,32 com/tencent/a/a/a/a/e.java, line(s) 14,28 com/tencent/a/a/a/a/h.java, line(s) 31,21,61,25 com/yanzhenjie/permission/runtime/LRequest.java, line(s) 63 com/yanzhenjie/permission/runtime/MRequest.java, line(s) 115 jxl/common/log/SimpleLogger.java, line(s) 34,35,40,41,47,48,53,54,80,81,89,90,18,19,27,28,63,71 jxl/demo/CSV.java, line(s) 41 jxl/demo/Demo.java, line(s) 14,15,16,17,18,19 jxl/demo/Escher.java, line(s) 33 jxl/demo/EscherDrawingGroup.java, line(s) 26 jxl/demo/Features.java, line(s) 43 jxl/demo/Formulas.java, line(s) 53,54,57,61 jxl/demo/Write.java, line(s) 400 jxl/demo/WriteAccess.java, line(s) 34,38 jxl/demo/XML.java, line(s) 77,178 net/sqlcipher/AbstractCursor.java, line(s) 237 net/sqlcipher/BulkCursorToCursorAdaptor.java, line(s) 49,97,138,162,173,183,201,108,119,221 net/sqlcipher/DatabaseUtils.java, line(s) 64,73,595,662 net/sqlcipher/DefaultDatabaseErrorHandler.java, line(s) 12,14,18,28,32 net/sqlcipher/database/SQLiteCompiledSql.java, line(s) 49,67,74,85,95 net/sqlcipher/database/SQLiteContentHelper.java, line(s) 25 net/sqlcipher/database/SQLiteCursor.java, line(s) 186,201,238,380 net/sqlcipher/database/SQLiteDatabase.java, line(s) 374,376,456,215,228,243,327,395,938,951,1011,1132,1216,1359,368,1012,1124,883,891,911,922,1013,1125,1413,1431,1451,1463,1426 net/sqlcipher/database/SQLiteDebug.java, line(s) 8,9,10,11,12,13 net/sqlcipher/database/SQLiteOpenHelper.java, line(s) 139,160 net/sqlcipher/database/SQLiteProgram.java, line(s) 65,71 net/sqlcipher/database/SQLiteQuery.java, line(s) 43 net/sqlcipher/database/SQLiteQueryBuilder.java, line(s) 133,132 net/sqlcipher/database/SqliteWrapper.java, line(s) 34,44,54,64,74 org/dmfs/android/view/ViewPager.java, line(s) 455,461,486 org/greenrobot/eventbus/Logger.java, line(s) 81,86 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 185 org/greenrobot/eventbus/util/ExceptionToResourceMapping.java, line(s) 25 top/zibin/luban/Luban.java, line(s) 70,96,69
信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密
此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 Files: com/raizlabs/android/dbflow/sqlcipher/SQLCipherOpenHelper.java, line(s) 22,11,12
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/pgl/sys/a/b/c.java, line(s) 54,58
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.wm002.cn) 通信。
{'ip': '39.98.87.242', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hl.anseo.cn) 通信。
{'ip': '121.228.130.193', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.snssdk.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bds.snssdk.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pay.wm002.cn) 通信。
{'ip': '39.98.87.242', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ziran.ziranw1.com) 通信。
{'ip': '39.98.87.242', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (crm.bytedance.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (doc.pretymen.com) 通信。
{'ip': '115.238.5.250', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdfp.snssdk.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}