安全分析报告:
安全分数
安全分数 41/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
10
中危
40
信息
2
安全
1
关注
7
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.lt.plugin.wx.wxapi.WXEntryActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.tencent.tauth.AuthActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.huawei.hms.hmsscankit.ScanKitActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.alipay.sdk.app.PayResultActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.alipay.sdk.app.AlipayResultActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/SWebView.java, line(s) 542,618
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: i4/a.java, line(s) 116,15,16
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/baidu/techain/a/a.java, line(s) 533,889,1152 i7/h1.java, line(s) 13
中危 Activity (com.lt.app.JumpActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.baidu.techain.TechainActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.baidu.techain.THReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.baidu.techain.THService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.baidu.techain.THProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.baidu.techain.RichWebActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.baidu.techain.push.HWPushActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.baidu.techain.push.HWPushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.baidu.techain.push.MIUIPushReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.baidu.techain.push.MIUIPushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.baidu.techain.push.MZPushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.baidu.techain.push.MZPushReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.baidu.techain.push.VivoPushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.baidu.techain.push.VIVOPushReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.heytap.msp.push.service.DataMessageCallbackService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.heytap.msp.push.service.CompatibleDataMessageCallbackService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity设置了TaskAffinity属性
(com.baidu.techain.NCActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Content Provider (com.huawei.hms.support.api.push.PushProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.xiaomi.xmsf.permission.MIPUSH_RECEIVE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.vivo.push.sdk.service.CommandClientService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.lt.plugin.wx.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity-Alias (com.ymyunshop.un2131.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (com.ymyunshop.un2131.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b1/e.java, line(s) 358 com/baidu/techain/l/c.java, line(s) 211 com/baidu/techain/l/g.java, line(s) 249,298,300 com/baidu/techain/l/m.java, line(s) 53,173 q1/h.java, line(s) 29,43,43 q7/h2.java, line(s) 131,157,1042
中危 IP地址泄露
IP地址泄露 Files: com/baidu/techain/TechainProvider.java, line(s) 70 com/baidu/techain/ac/TH.java, line(s) 44 com/baidu/techain/b/d.java, line(s) 290,294,299 com/baidu/techain/k/a.java, line(s) 151 com/baidu/techain/l/a.java, line(s) 323,1437,1468 com/baidu/techain/l/i.java, line(s) 85 com/baidu/techain/l/n.java, line(s) 90 com/baidu/techain/v/a.java, line(s) 232 e8/d.java, line(s) 14 i6/y.java, line(s) 111,759 j4/a.java, line(s) 15 k0/e0.java, line(s) 31 k6/b.java, line(s) 151,159,143 q7/o0.java, line(s) 115,115,115,115
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: bb/a.java, line(s) 140 com/baidu/techain/q/a.java, line(s) 16 com/baidu/techain/s/b.java, line(s) 19 com/lt/app/App.java, line(s) 198 m6/p0.java, line(s) 218
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/baidu/techain/a/a.java, line(s) 67 com/baidu/techain/b/l.java, line(s) 36 k6/b.java, line(s) 15 ka/z.java, line(s) 14 l8/c0.java, line(s) 6 l8/x.java, line(s) 10 m9/a.java, line(s) 4 m9/b.java, line(s) 5 m9/c.java, line(s) 6 m9/d.java, line(s) 7 m9/e.java, line(s) 5 n9/a.java, line(s) 5 u6/h.java, line(s) 16 xa/a.java, line(s) 11 xa/d.java, line(s) 5
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: a9/n.java, line(s) 253,266 b9/e.java, line(s) 699,709,730,734 n3/c.java, line(s) 307
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/baidu/techain/a/a.java, line(s) 1173 com/baidu/techain/l/c.java, line(s) 183 com/baidu/techain/l/j.java, line(s) 49,66 com/lt/app/App.java, line(s) 197 h7/r0.java, line(s) 72 q7/h2.java, line(s) 319 u6/h.java, line(s) 116
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/gzsll/jsbridge/WVJBWebView.java, line(s) 157,235,156
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/baidu/techain/c/a.java, line(s) 7,8,42 com/baidu/techain/g/a.java, line(s) 6,7,33
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 OPPO推送的=> "OPPO_APPKEY" : "@string/p_ht_op_appkey" 凭证信息=> "appkey_avscan" : "100034" 凭证信息=> "seckey_avscan" : "660346260f8a841a04ec2a56815b421b" 凭证信息=> "MZ_APPKEY" : "@string/p_ht_mz_appkey" OPPO推送的=> "OPPO_APPSECRET" : "@string/p_ht_op_appsecret" 凭证信息=> "XM_APPKEY" : "@string/p_ht_xm_appkey" 凭证信息=> "XM_APPID" : "@string/p_ht_xm_appid" 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "@string/p_ht_hw_appid" 凭证信息=> "MZ_APPID" : "@string/p_ht_mz_appid" vivo推送的=> "com.vivo.push.api_key" : "12f7c8ecbdd64b0064f8c90422ae0abd" vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI" vivo推送的=> "com.vivo.push.app_id" : "105281502" "p_ht_op_appsecret" : "7310540fc58142a088ec6a8ebcfe6288" "http_auth_p" : "Password" "p_ht_op_appkey" : "3362b3bb8bac4343b56353ecac9cf59a" "p_u_appkey" : "606efc5818b72d2d244b6977" "p_ht_vv_appkey" : "12f7c8ecbdd64b0064f8c90422ae0abd" "p_ht_appkey" : "700000579" "p_ht_xm_appkey" : "5121872397088" "p_ht_mz_appkey" : "6328d52f2679491d9f3f5eb182c791e3" B92825C2BD5D6D6D1E7F39EECD17843B7D9016F611136B75441BC6F4D3F00F05 6PzPHS4JINi0q8yUj180JTMbpq1Q44DuQggknxVmVPA= JzLix2JtXzSSsVkQFD0Cnf37028Rco5rGb7 lUApGLCwwTIqYrpC4ZaqkVItjc8DeoJ5fB ARQJ8IArCy4jLSUJ6i4PbDdNue2ww1CwfUTDQn8F4ug= iQirV45vitYDQfzxgr68ylBY1DWLBKje2Pl428sE27Q= SRX9WDHPoeAkGWfJbuntGR7RQ3rde1s6KyyCoo= WtGvBTWjt2PyMX5rQclkgiNR3aDxFtoBNe1UnNpbL1I= 74FFB5E615AA72E0B057EE43E3D5A23A8BA34AAC1672FC9B56A7106C57BA03 aYuwX3/Ci4gnjN1gkNedIuxFhYRnuEFwIGANhgtZw5yqTEXickWcz6a45TVocCp1 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 925fc15df8a49bed0b3eca8d2b44cb7b 6148523063484D364C79396E4C6E6C7062575675655856754C6D4E754C773D3D UNzyljxPfmKANfePasqvdfmpLS4aJ1v0S1Aj2BGl75o= czwe2zUrt14MfnaeH474T5prOCIik3agOnBud FLI7RPHK558lhmIMdK5V18TV2libLOeHJlQPRa8lKBaxRs4pujQo1mXKtiCUFVkg q6R8gqLUgHDSsH6dbL27xN7Qr9sa0MxMqXTV66AWUUE= fCbyLrInjq1BOByP4wH4mUGBidquiIKIy6zcJCBuKtk= E49D5C2C0E11B3B1B96CA56C6DE2A14EC7DAB5CCC3B5F300D03E5B4DBA44F539
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a7/a.java, line(s) 72 a9/c.java, line(s) 13,18,39,44,49,54,59,64,69,74,79,84,89,94,99,104,109,114,120,126,131 aa/b.java, line(s) 82 b0/a.java, line(s) 146,150 b1/e.java, line(s) 409 b1/l.java, line(s) 46,56 b1/q.java, line(s) 38 b2/c.java, line(s) 215 b4/c.java, line(s) 203,206 b4/e.java, line(s) 442,457 b4/i.java, line(s) 1303,1306,1193,1678,1683 b7/a.java, line(s) 69 c1/h.java, line(s) 77 c2/g.java, line(s) 32,41 c2/h.java, line(s) 102,111 c2/o.java, line(s) 107,116,136,147 c2/q.java, line(s) 582,381 c2/s.java, line(s) 45,44 c6/l.java, line(s) 990,993 com/SWebView.java, line(s) 119,214,484,489,751,753 com/baidu/techain/a/a.java, line(s) 116,188,244,388,396,406,120 com/baidu/techain/p/b.java, line(s) 22,30,38,46 com/baidu/techain/t/b.java, line(s) 82,121,142,149,159,165 com/baidu/techain/t/c.java, line(s) 51,58,68,74,80,127 com/baidu/techain/t/d.java, line(s) 25,28 com/baidu/techain/t/e.java, line(s) 47,64,97,100,119,57,72,83,87,93 com/baidu/techain/u/a.java, line(s) 18 com/baidu/techain/u/c.java, line(s) 246 com/baidu/techain/v/a.java, line(s) 35,65,94,98,117,147,173,208,220,242,276,278,282,45,87,176,178,190,204,230,33 com/baidu/techain/v/b.java, line(s) 19,35,33,45 com/baidu/techain/v/c.java, line(s) 17,20,23 com/gzsll/jsbridge/WVJBWebView.java, line(s) 123,136 com/koushikdutta/async/http/HybiParser.java, line(s) 233 com/lt/plugin/SplashActivityBase.java, line(s) 134 com/lt/plugin/ht/HtReceiver.java, line(s) 61,65,71,72,79,85,93,96,104,109 com/lt/plugin/uapp/UApp.java, line(s) 29 d1/e.java, line(s) 34 d1/f.java, line(s) 68 d1/k.java, line(s) 416,434,440,155,163,235 d6/l.java, line(s) 696,699 d7/a.java, line(s) 640 db/b.java, line(s) 33 db/f.java, line(s) 88 eb/b.java, line(s) 33,69 f/f.java, line(s) 238 f/i.java, line(s) 65 fb/b.java, line(s) 70,111,151,72,114,153 fb/c.java, line(s) 410,174,181,191,197,200,207,407,430,434,528,532,554 fb/d.java, line(s) 29 g0/a.java, line(s) 492,496,499 g0/e.java, line(s) 131,135,269,321,501 g0/j.java, line(s) 92,282,286,289 g1/a0.java, line(s) 78,122 g1/d0.java, line(s) 91,94 g1/e0.java, line(s) 155 g1/o.java, line(s) 432,437 g1/y.java, line(s) 63 g1/z.java, line(s) 54,67 g2/d.java, line(s) 325 g6/i.java, line(s) 25,49,77,83,31,37,19,43 h0/c.java, line(s) 1497 h1/c.java, line(s) 164,173,296,306 h1/h.java, line(s) 56,65 h1/l.java, line(s) 36,60 h3/b.java, line(s) 148,178,248,256,294,316,375,385,423,429,449,323 h7/r0.java, line(s) 344 hb/b.java, line(s) 162,189 i0/c.java, line(s) 415,172,176 i0/d.java, line(s) 139 i0/e.java, line(s) 121 i2/b.java, line(s) 47,105,122 i2/c.java, line(s) 32,118 i2/e.java, line(s) 111 i3/d.java, line(s) 96 i4/a.java, line(s) 44 i6/a0.java, line(s) 157,339,697,1092,375,378,381,623,784,881 i6/f0.java, line(s) 165 i6/r0.java, line(s) 244 i6/v.java, line(s) 135 i6/y0.java, line(s) 223,234,235 i7/n0.java, line(s) 53 i7/o0.java, line(s) 38 i7/v0.java, line(s) 547,1767,1858 i8/c.java, line(s) 23,25 j0/c.java, line(s) 31,38,41,44 j4/g.java, line(s) 1711 k0/d.java, line(s) 105 k0/e0.java, line(s) 26,22,61,69 k0/i.java, line(s) 29,30,40,114,115,125,199,200,210 k0/p.java, line(s) 51 k0/q.java, line(s) 54,55 k0/t.java, line(s) 339 k3/a.java, line(s) 183,188,195,199,215,225 k4/c.java, line(s) 144 l0/b.java, line(s) 173 l0/c.java, line(s) 106 l0/g.java, line(s) 173,245 l3/e.java, line(s) 45,69 l3/f.java, line(s) 18 l3/i.java, line(s) 93,98 l5/a.java, line(s) 933 m0/p.java, line(s) 381 m0/r.java, line(s) 136,177 m6/w.java, line(s) 283,290,291,239,246,247,200,207,214 m7/m0.java, line(s) 335,336,368 m7/n0.java, line(s) 162,167,171,175,179,183,186,249,233,277,210,217 me/zhanghai/android/materialprogressbar/BaseProgressLayerDrawable.java, line(s) 72 me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 122,132,307 n2/g.java, line(s) 63 n3/b.java, line(s) 100,126,172,468,470,109,111,118,122,148,150,157,162,169,405,426,433,435,444,85,103,258,312,343,352,362,429,437,441 n3/c.java, line(s) 90,100,102,139,161,198,208,212,214,219,226,296,298,308,322,149,165,181,204,292,300,343 o/b.java, line(s) 374 o/c.java, line(s) 59,66,84 o/f.java, line(s) 90 o/i.java, line(s) 421 o/l.java, line(s) 63,73,89,99,117,129,141,150,164,178,190 o/o.java, line(s) 97,84 o0/f.java, line(s) 260 o3/a.java, line(s) 468,532,543 o4/d.java, line(s) 125 o6/c.java, line(s) 199 p0/e.java, line(s) 45 q/a.java, line(s) 556,559 q1/h.java, line(s) 45 q1/j.java, line(s) 50,54,58,85,89,93 q1/y.java, line(s) 73,92,106,125,138 q3/e.java, line(s) 119,302,342,357 q3/i.java, line(s) 139 q3/l.java, line(s) 36 q3/o.java, line(s) 1231,1235,1304,1308 q3/w.java, line(s) 44,121 q7/c2.java, line(s) 615 r0/a.java, line(s) 98,101 r0/c.java, line(s) 81,83 r0/d.java, line(s) 80,82 r0/f.java, line(s) 71,73 r2/a0.java, line(s) 144,239,261,338,388,407,422,432,525,552,557,587,595,674,682,751,232,326,462,610,657,724 r2/b0.java, line(s) 211 r2/c0.java, line(s) 41,114,133,147,234 r2/j.java, line(s) 412,421,461,526 r2/j0.java, line(s) 18 r2/k.java, line(s) 104,124,162,173,201,278,456,495,539,558,576,581,598,718,720,722,724,732,762,967,986,987,991,993,997 r2/k0.java, line(s) 127,145,187,318,361,370,377,386,397,408,416,454,462,485,508,526,535,542,583,595,604 r2/l.java, line(s) 135,215,378,397,439,447,449 r2/r.java, line(s) 98,108 r2/v.java, line(s) 108,207,214,151,157,192,200 r5/d.java, line(s) 201,245 r6/n.java, line(s) 80,361,70 r6/p.java, line(s) 136 r6/s.java, line(s) 421 s0/a0.java, line(s) 187,135 s0/d.java, line(s) 27,109,49,65,70,75,163,166,172,183,189,194 s0/e.java, line(s) 460 s0/h.java, line(s) 137 s0/i.java, line(s) 256,434,622 s0/j.java, line(s) 40,102 s0/k.java, line(s) 175,180,245 s0/m.java, line(s) 160,427 s0/n.java, line(s) 153,566,573 s0/o.java, line(s) 389,399 s0/p.java, line(s) 702 s0/t.java, line(s) 482,492,1208,1582,1744,1759,1360,1197,1270,1460,1551,1552,1558,1574,1575 s0/w.java, line(s) 253,485 s0/z.java, line(s) 194,195 s2/c.java, line(s) 330,403,425 s5/b.java, line(s) 84 t/g.java, line(s) 278,349,388 t0/a.java, line(s) 366,369,370,375,377,423,426,427,432,434 t0/b.java, line(s) 319,128,221 t0/d.java, line(s) 3483,4925,5358,500,502,504,506,508,510,512,514,531,4014,2154,2648,2778,3543,3546,3777,3803,3856,3876,3897,4018,4506,4733,5003,5441,5447,5526,5538 t0/h.java, line(s) 124 t4/h.java, line(s) 127 u/j.java, line(s) 563 u/k.java, line(s) 456 u1/e.java, line(s) 69,80,82,97,100,119,121 u3/d.java, line(s) 24,16,20 u5/j.java, line(s) 757 v/c0.java, line(s) 201,231 v/e0.java, line(s) 423,61,73,111,144,244 v/f.java, line(s) 247,251,254,258,356,362 v/j0.java, line(s) 212,373,476,126,140,185,194,334,379,382,457,460 v/k0.java, line(s) 96 v/p.java, line(s) 65 v/q0.java, line(s) 359,373 v/s0.java, line(s) 182 v/t.java, line(s) 114,300,315,461,542,557 v/t0.java, line(s) 92 v/v0.java, line(s) 29,47,49,51,62 v2/a.java, line(s) 287,358,366 v4/a.java, line(s) 101 w6/s.java, line(s) 485,486,488 w6/x.java, line(s) 13,43,18,30,22,34,26,38 w6/y.java, line(s) 581 x1/c.java, line(s) 45,98,103,113,118,123,137,142 x1/k.java, line(s) 21 x3/b.java, line(s) 146 y1/b0.java, line(s) 138,231 y1/c1.java, line(s) 89,122,143,170,191,206,221 y1/l.java, line(s) 93 y1/l1.java, line(s) 487,658,203,215,222,231,52,72,649 y1/v.java, line(s) 50,59 y1/x0.java, line(s) 1931,2240,2735,2166,2298,2653,2660,2662,2664,2734 y1/y0.java, line(s) 49,60 y3/g0.java, line(s) 66,79,108,117,119 y3/h.java, line(s) 55,70,107 y3/q0.java, line(s) 141,164 y6/b.java, line(s) 34,48,84,76 y6/c.java, line(s) 79,80,101,102,103 z0/e0.java, line(s) 333,346,360 z0/f.java, line(s) 95,255 z0/g0.java, line(s) 135 z0/k.java, line(s) 65,74,88,97 z0/o.java, line(s) 93 z0/v.java, line(s) 96,112,126,130,193,218,221 z0/w.java, line(s) 188,201,207,235,266,274,336,346,187,200,206,234,265,273,335,345,210,229,327,363 z1/d.java, line(s) 336
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: i7/v0.java, line(s) 6,1089 m7/h0.java, line(s) 6,262 m7/k0.java, line(s) 4,373
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/baidu/techain/t/e.java, line(s) 36,35,32 i6/y.java, line(s) 850,331,847,847 la/c.java, line(s) 643,642,641,641
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (resolver.msg.xiaomi.net) 通信。
{'ip': '223.109.148.130', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '121.228.130.197', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cn.register.xmpush.xiaomi.com) 通信。
{'ip': '121.228.130.197', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。
{'ip': '121.228.130.197', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.dl.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '121.228.130.197', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}