安全分析报告:
安全分数
安全分数 29/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
5
用户/设备跟踪器
调研结果
高危
21
中危
21
信息
1
安全
2
关注
12
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.geshi.formatfactory.activity.MainActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.geshi.formatfactory.activity.OldMainActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.geshi.formatfactory.activity.MyWorkActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.geshi.formatfactory.wxapi.WXPayEntryActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.geshi.formatfactory.wxapi.WXPayEntryActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.geshi.formatfactory.wxapi.WXEntryActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.geshi.formatfactory.wxapi.WXEntryActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.alipay.sdk.app.AlipayResultActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.alipay.sdk.app.AlipayResultActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.sobot.chat.conversation.SobotChatActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.bytedance.sdk.openadsdk.stub.activity.Stub_SingleTask_Activity_T) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.bytedance.sdk.openadsdk.stub.activity.Stub_SingleTask_Activity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.ss.android.downloadlib.activity.TTDelegateActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.ss.android.downloadlib.activity.JumpKllkActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.ss.android.socialbase.appdownloader.view.DownloadTaskDeleteActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.ss.android.socialbase.appdownloader.view.JumpUnknownSourceActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: e/b/b/c/v/c.java, line(s) 29,78
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: e/b/b/c/r/a.java, line(s) 82,96,89
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/geshi/formatfactory/activity/WebActivity.java, line(s) 139,135
高危 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.geshi.formatfactory.activity.MainActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity设置了TaskAffinity属性
(com.geshi.formatfactory.wxapi.WXPayEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.geshi.formatfactory.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.geshi.formatfactory.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.geshi.formatfactory.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.geshi.formatfactory.service.FileFormatService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.geshi.formatfactory.service.NewFileFormatService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.geshi.formatfactory.service.RoomDataService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/example/model_mediacodec/codec/SoftWareDecoder.java, line(s) 61 com/geshi/formatfactory/activity/ListActivity.java, line(s) 395,687,783 com/geshi/formatfactory/activity/MainActivity.java, line(s) 373,382 com/geshi/formatfactory/activity/MyWorkActivity.java, line(s) 137,144,145 com/geshi/formatfactory/activity/MyWorkSuccessActivity.java, line(s) 247,251 com/geshi/formatfactory/activity/NewConfigureActivity.java, line(s) 1924 com/geshi/formatfactory/activity/OldMainActivity.java, line(s) 780,789 com/geshi/formatfactory/activity/SettingActivity.java, line(s) 482,491 com/geshi/formatfactory/fragment/FileFolderItemListFragment.java, line(s) 127 com/geshi/formatfactory/fragment/FileFolderListFragment.java, line(s) 241,466,515,743 com/geshi/formatfactory/fragment/FileSeanListFragment.java, line(s) 342 com/geshi/formatfactory/fragment/FileSearchListFragment.java, line(s) 204 com/geshi/formatfactory/fragment/MyWorkListFragment.java, line(s) 214 com/geshi/formatfactory/fragment/ViewPagerListFragment.java, line(s) 288,298,308 com/geshi/formatfactory/service/FileFormatService.java, line(s) 347 com/geshi/formatfactory/utils/FileListUtils.java, line(s) 285 com/geshi/formatfactory/viewmodel/HomeViewModel.java, line(s) 77,79 com/geshi/formatfactory/viewmodel/SettingViewModel.java, line(s) 88 com/sobot/network/http/download/SobotDownload.java, line(s) 97,77,113,164 com/ss/android/downloadlib/addownload/g.java, line(s) 209 com/ss/android/downloadlib/addownload/j.java, line(s) 201,203 com/ss/android/downloadlib/g/l.java, line(s) 142,189,454 e/a/c/a/a/f/e.java, line(s) 117,121,200,202,260 e/a/c/a/a/g/d.java, line(s) 82 e/b/b/c/x/b.java, line(s) 413,414,576,577 e/b/b/c/y/c.java, line(s) 12,24,28 e/i/a/q/a.java, line(s) 84,105,143 e/i/a/q/b.java, line(s) 16,19,85 e/l/b/q/d0.java, line(s) 152,156 e/l/b/q/j0.java, line(s) 50 e/l/b/q/m0.java, line(s) 276,366,500,589,590,605,606 e/l/b/q/v.java, line(s) 92,156,230,249,285,499,658,790 e/o/a/a/o.java, line(s) 229 e/o/a/a/t.java, line(s) 163
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/geshi/formatfactory/activity/QuestionnaireActivity.java, line(s) 31 com/sobot/network/http/HttpBaseUtils.java, line(s) 19 e/b/b/c/k/b.java, line(s) 19 e/b/b/c/r/a.java, line(s) 9 e/b/b/c/s/k.java, line(s) 42 g/b2/u.java, line(s) 10 g/b2/y.java, line(s) 6 g/o2/a.java, line(s) 10 g/o2/b.java, line(s) 5 g/o2/c.java, line(s) 8 g/o2/f/a.java, line(s) 5 i/f0.java, line(s) 19 i/o0/r/b.java, line(s) 21 i/o0/r/e.java, line(s) 8
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jg/ids/i/i.java, line(s) 145 e/a/c/a/a/f/h/a.java, line(s) 99,146 e/b/b/c/v/b.java, line(s) 11 e/b/b/c/v/c.java, line(s) 28,77 e/b/b/c/w/a.java, line(s) 72 k/e/a/a/a/a.java, line(s) 168
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/mathum/commonlib/utils/TaskCmdUtils.java, line(s) 146 com/sobot/network/http/builder/PostFormBuilder.java, line(s) 28 com/sobot/network/http/builder/PostMultipartFormBuilder.java, line(s) 28 e/a/b/a.java, line(s) 49 e/e/a/n/e.java, line(s) 83 e/e/a/n/k/c.java, line(s) 41 e/e/a/n/k/n.java, line(s) 98 e/e/a/n/k/u.java, line(s) 78 e/l/e/h0.java, line(s) 130 e/l/e/r0/o/g.java, line(s) 120 e/l/e/r0/o/h.java, line(s) 157 e/l/e/r0/p/u.java, line(s) 85 e/l/e/r0/p/v.java, line(s) 87 e/o/a/a/q.java, line(s) 287
中危 IP地址泄露
IP地址泄露 Files: e/a/c/a/a/f/h/f.java, line(s) 12 e/a/c/a/a/g/f.java, line(s) 1038
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: e/a/c/a/a/f/h/a.java, line(s) 26,45,64 e/l/b/q/m0.java, line(s) 723
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/sobot/network/http/db/SobotDBHelper.java, line(s) 4,5,23 com/ss/android/downloadlib/d/b.java, line(s) 4,5,18
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: g/i2/o/e.java, line(s) 449,472,476,500
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_CHANNEL" : "HuaWei" "sobot_ding_cai_sessionoff" : "Fine della conversazione, nessun feedback" "sobot_ding_cai_sessionoff" : "Conversation ended, you can't send feedback" "sobot_ding_cai_sessionoff" : "Percakapan berakhir, tidak ada umpan balik" "sobot_ding_cai_sessionoff" : "Perbincangan tamat, tidak dapat maklumbalas" 197e6e0f6b1617561be4022415969713 b3f27faa8282c119959b97b34cdddc24 af34ba0045955af340036a1b29d700b2 6d2951692b739d6beeb59de330b1ab19 b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649 MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgFOl7gCz76q62uBFFwHwVQbsUxDOobzclGPlOQcn+FfPXGTGJ06l1K2SA92m1pbt7eNIjoa9yAwomSzaM+NXgiC4JEheZSdbSSIox7fvlPUhnhB7kaVZkdvYhofEziTuvjxhzasQY3V3/48sMZhmk0BzkTLkdVBQY0rA3PA8pRKJAgMBAAE= uDarS1ccwTSWf7lT4VQvHGyr0EIitRdv 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 6Z2e5bi45oqx5q2J77yM6K+35YWz6Zet5omL5py65byA5Y+R6ICF5qih5byP77yMQXBw5Y2z5bCG5YWz6Zet 60d530b226a57f101838922c bec809920ad74e4595c7424b4c565f6d MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC039jg7sotX4xr+LGdmTWs7TgRGTAiMAINpAX8B1r8qUbiyHpqp4ozlQhOI8ogMM+p1rcDWTvM+8Iwd9laClFUeVYaun+h4XUgIM5nQ1qmTVN3uf1lYZxzf2a8B0pHWxPYDwIyeHj2UEb3Cx5i5NG5cZ24depXP6jPKwyzTTJtEwIDAQAB tStEWiXFQdOqDLbSqw9VhC5AgvTAI5tGZfZ5T 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/forjrking/lubankt/parser/DefaultImgHeaderParser.java, line(s) 153,160,204,214,224,236,254,256,261,270,273,278,289,297 com/geshi/formatfactory/widget/MyVideoView.java, line(s) 490 com/sobot/network/http/log/SobotNetLogUtils.java, line(s) 84,114,126 e/e/a/l/a.java, line(s) 419 e/e/a/m/e.java, line(s) 95,123 e/e/a/m/g.java, line(s) 538,558,572 e/e/a/n/j/b.java, line(s) 48 e/e/a/n/j/j.java, line(s) 53,149,151,157,164 e/e/a/n/j/l.java, line(s) 49 e/e/a/n/j/o/c.java, line(s) 109 e/e/a/n/j/o/e.java, line(s) 70 e/e/a/n/k/a0/a.java, line(s) 89 e/e/a/n/k/g.java, line(s) 55 e/e/a/n/k/i.java, line(s) 31 e/e/a/n/k/w.java, line(s) 36 e/e/a/n/k/x/j.java, line(s) 112,153 e/e/a/n/k/x/k.java, line(s) 96,135,145,168,177,188,200,221,228 e/e/a/n/k/y/e.java, line(s) 61,67,94,104,115,127 e/e/a/n/k/y/l.java, line(s) 155 e/e/a/n/k/z/a.java, line(s) 95 e/e/a/n/k/z/b.java, line(s) 46 e/e/a/n/l/c.java, line(s) 18 e/e/a/n/l/d.java, line(s) 42 e/e/a/n/l/f.java, line(s) 100 e/e/a/n/l/s.java, line(s) 99 e/e/a/n/l/t.java, line(s) 38 e/e/a/n/m/c/b0.java, line(s) 127 e/e/a/n/m/c/m.java, line(s) 192,239,249,259,271,289,291,296,305,308,313,324,332 e/e/a/n/m/c/n.java, line(s) 93,117,199,241,257 e/e/a/n/m/c/o.java, line(s) 47,53 e/e/a/n/m/c/s.java, line(s) 47 e/e/a/n/m/c/y.java, line(s) 119,122,165,172,177,288 e/e/a/n/m/g/a.java, line(s) 78,83,88,97 e/e/a/n/m/g/c.java, line(s) 26 e/e/a/n/m/g/i.java, line(s) 41 e/e/a/o/e.java, line(s) 35,58,80 e/e/a/o/f.java, line(s) 17 e/e/a/o/k.java, line(s) 259 e/e/a/o/m.java, line(s) 110 e/e/a/p/d.java, line(s) 50,55,58,64,69 e/e/a/s/j/f.java, line(s) 79,120 e/e/a/s/j/r.java, line(s) 76,117 e/e/a/u/b.java, line(s) 47 e/l/b/q/z.java, line(s) 51 e/m/a/e/c/a.java, line(s) 19,154 e/m/a/e/c/c.java, line(s) 54 g/i2/c.java, line(s) 15,20,25,30,35,40,45,50,55,61,66,71,76,81,86,91,96,101,106,111,117 h/b/v3/a.java, line(s) 56 k/a/a/f.java, line(s) 80,85
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: e/b/b/c/q/b.java, line(s) 21,21,21,21,21,21
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/sobot/network/http/SobotOkHttpUtils.java, line(s) 55,54,53,53 e/l/b/o/g.java, line(s) 262,262,272 i/o0/e.java, line(s) 114,113,112,112
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (beta-app-api.pcgeshi.com) 通信。
{'ip': '112.74.75.195', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-api.pcgeshi.com) 通信。
{'ip': '112.74.75.195', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.pcgeshi.com) 通信。
{'ip': '180.97.251.209', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.soboten.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (s.anjixg.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '埃塞俄比亚', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '台州', 'latitude': '28.666668', 'longitude': '121.349998'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。
{'ip': '222.186.18.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}