安全分析报告:
安全分数
安全分数 47/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
4
用户/设备跟踪器
调研结果
高危
5
中危
43
信息
3
安全
2
关注
20
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/delilegal/headline/ui/htmlshow/HtmlPromoteActivity.java, line(s) 174,9,10 com/delilegal/headline/ui/judgesearch/view/LawFirmDetailActivity.java, line(s) 295,8,9 com/delilegal/headline/ui/judgesearch/view/LawyerDetailActivity.java, line(s) 145,8,9 com/delilegal/headline/ui/majorcase/MajorcasePointDetailActivity.java, line(s) 1233,17,18 com/delilegal/headline/ui/search/SearchCommonDetailAdapter.java, line(s) 188,10,11 com/delilegal/headline/ui/wisdomsearch/WisdomLawDetailActivity.java, line(s) 840,22,23 com/delilegal/headline/ui/wisdomsearch/home/view/WebviewActivity.java, line(s) 62,10,11
高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode
Files:
com/delilegal/headline/util/AES.java, line(s) 11,31
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: x2/a.java, line(s) 76
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b3/c.java, line(s) 30,79 k2/a.java, line(s) 53,79
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.delilegal.headline.ui.wisdomsearch.WisdomLawDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.wisdomsearch.WisdomCaseDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.majorcase.MajorcasePointDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.majorcase.MainMajorcaseMoreDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.special.SpecialDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.lawnews.LawNewsDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.search.SearchPatentDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.search.SearchBrandDetailActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ui.main.MainActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.delilegal.headline.ddshare.DDShareActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.sina.weibo.sdk.share.ShareTransActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.allenliu.versionchecklib.core.MyService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PopWinActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.android.service.JTransitActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.vivo.push.sdk.service.CommandClientService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.push.permission.UPSTAGESERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (cn.jpush.android.service.PluginXiaomiPlatformsReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (cn.jpush.android.service.PluginOppoPushService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.heytap.msp.push.service.CompatibleDataMessageCallbackService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.heytap.msp.push.service.DataMessageCallbackService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.huawei.hms.support.api.push.PushProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: aa/a.java, line(s) 4 com/hjq/permissions/PermissionFragment.java, line(s) 16 k2/d.java, line(s) 5 l2/b.java, line(s) 12 n8/g.java, line(s) 25 o2/d.java, line(s) 7 org/greenrobot/greendao/test/DbTest.java, line(s) 7 x2/a.java, line(s) 7 y2/l.java, line(s) 48 z9/a.java, line(s) 11 z9/b.java, line(s) 3
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/delilegal/headline/db/entity/BuryPointEntityDao.java, line(s) 4,61 com/delilegal/headline/db/entity/CityHistoryEntityDao.java, line(s) 4,35 com/delilegal/headline/db/entity/ReadHasEntityDao.java, line(s) 4,36 com/delilegal/headline/db/entity/SearchHistoryCollectEntityDao.java, line(s) 4,36 com/delilegal/headline/db/entity/SearchHistoryEntityDao.java, line(s) 4,36 com/delilegal/headline/db/entity/SearchHistoryWisdomEntityDao.java, line(s) 4,36 org/greenrobot/greendao/AbstractDao.java, line(s) 6,7,375 org/greenrobot/greendao/DbUtils.java, line(s) 6,35 org/greenrobot/greendao/database/StandardDatabase.java, line(s) 4,63
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/delilegal/headline/ui/business/BusinessDetailActivity.java, line(s) 507,501 com/delilegal/headline/ui/dynamic/DynamicDetailActivity.java, line(s) 666,661 com/delilegal/headline/ui/htmlshow/HtmlNormalActivity.java, line(s) 121,120 com/delilegal/headline/ui/htmlshow/HtmlPromoteActivity.java, line(s) 178,177 com/delilegal/headline/ui/lawnews/LawNewsDetailActivity.java, line(s) 1552,1549 com/delilegal/headline/ui/majorcase/MajorcasePointDetailActivity.java, line(s) 1241,1236 com/delilegal/headline/ui/search/SearchCommonDetailAdapter.java, line(s) 194,191 com/delilegal/headline/ui/wisdomsearch/WisdomLawDetailActivity.java, line(s) 846,843 com/delilegal/headline/ui/wisdomsearch/home/view/WebviewActivity.java, line(s) 69,65
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b3/b.java, line(s) 11 b3/c.java, line(s) 29,78 c3/a.java, line(s) 91 k7/n.java, line(s) 61 n9/w0.java, line(s) 159 o2/d.java, line(s) 52 p1/c.java, line(s) 133
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/alibaba/idst/nui/CommonUtils.java, line(s) 365 com/alibaba/idst/nui/FileUtil.java, line(s) 27,169 com/allenliu/versionchecklib/utils/FileHelper.java, line(s) 39,10,25 com/delilegal/headline/pathselector/utils/MConstants.java, line(s) 28 com/delilegal/headline/ui/buy/view/bill/BillFileActivity.java, line(s) 218 com/delilegal/headline/ui/htmlshow/HtmlPromoteActivity.java, line(s) 96 com/delilegal/headline/ui/lawcircle/CaseStudiesActivity.java, line(s) 82,83 com/delilegal/headline/ui/lawcircle/album/ImageUtil.java, line(s) 27 com/delilegal/headline/ui/lawcircle/camera/Camera2BasicFragment.java, line(s) 755 com/delilegal/headline/ui/lawreport/LawReportDetailActivity.java, line(s) 213 com/delilegal/headline/ui/my/MyInfoEditActivity.java, line(s) 358 com/delilegal/headline/ui/my/view/CustomerServiceActivity.java, line(s) 48 com/delilegal/headline/util/BitmapUtils.java, line(s) 18,21,25 com/delilegal/headline/util/DownloadUtil.java, line(s) 44 com/delilegal/headline/util/FileUtils.java, line(s) 133,145,313 com/delilegal/headline/util/Image.java, line(s) 94,110 com/delilegal/headline/util/ShareFileUtil.java, line(s) 84 i5/a.java, line(s) 124 j7/d.java, line(s) 73,74 n9/j1.java, line(s) 72,74,84,86 o8/a.java, line(s) 33 o8/f.java, line(s) 23,34 q1/c.java, line(s) 509,510,805,806 s1/c.java, line(s) 10,24,26
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/allenliu/versionchecklib/core/AVersionService.java, line(s) 28,29 com/delilegal/headline/constants/Url.java, line(s) 253 com/delilegal/headline/ui/wisdomsearch/MainWisdomSearchActivity.java, line(s) 53 com/delilegal/headline/util/WxShareUtils.java, line(s) 178 com/delilegal/headline/util/signature/GenerateTestUserSig.java, line(s) 15 com/delilegal/headline/vo/buy/MyOrderDto.java, line(s) 435 com/delilegal/headline/vo/buy/SetMealFeeDto.java, line(s) 325 com/delilegal/headline/vo/dto/JobTitleDto.java, line(s) 115 com/hjq/permissions/StartActivityManager.java, line(s) 11 v3/c.java, line(s) 79
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/delilegal/headline/util/FileUtils.java, line(s) 226,452 com/delilegal/headline/util/PwdUtils.java, line(s) 23 n3/c.java, line(s) 43 p8/h.java, line(s) 371
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/delilegal/headline/ui/business/BusinessDetailActivity.java, line(s) 502,501
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: o0/b.java, line(s) 117
中危 应用程序包含隐私跟踪程序
此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 openinstall统计的=> "com.openinstall.APP_KEY" : "e31j9t" vivo推送的=> "com.vivo.push.app_id" : "105538479" OPPO推送的=> "OPPO_APPSECRET" : "OP-f871f3cfe21f4e0cb48e9c2c420cda76" 极光推送的=> "JPUSH_APPKEY" : "b5fd979ab9a7f737f4180807" vivo推送的=> "com.vivo.push.api_key" : "26d58ef1e0eda11d64ffcc0187cecf25" OPPO推送的=> "OPPO_APPID" : "OP-30737203" OPPO推送的=> "OPPO_APPKEY" : "OP-20c998b871ce445f8af279097a3dca7c" 小米推送的=> "XIAOMI_APPID" : "MI-2882303761518556340" 小米推送的=> "XIAOMI_APPKEY" : "MI-5151855631340" 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=102436025" vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI" a0c700f44a12efdf9bb141582745270cc689126e871470e76116efaeb171e393 L3N5c3RlbS9iaW4vbmVtdVZNLXByb3A= d2cef93010963d9273440efe6a05dd8d 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 7ZWY64KY7J2YIO2MjOydvOydhCDshKDtg50= L3N5c3RlbS9iaW4vZHJvaWQ0eC1wcm9w YW5kcm9pZC5oYXJkd2FyZS5ibHVldG9vdGg= L3N5c3RlbS9saWI2NC9saWJjbGNvcmVfeDg2LmJj L3N5c3RlbS9ldGMvZXhjbHVkZWQtaW5wdXQtZGV2aWNlcy54bWw= 2KfbjNqpINmB2KfYptmEINmF24zauiDYs9uSINin2YbYqtiu2KfYqCDaqdix24zaug== d8391a394d4a179e6fe7bdb8a301258b f9cd705bb6ec4587aeb8c3c5f03d6732 L3N5c3RlbS9iaW4vbWljcm92aXJ0LXByb3A= D8104A5830CA49B7AD6FBAC66078A09D 2LHYpyDYp9mG2KrYrtin2Kgg2qnZhtuM2K8g24zaqSDZgdin24zZhA== Y29tLnRlbmNlbnQuYW5kcm9pZC5xcWRvd25sb2FkZXI= L3N5c3RlbS9mcmFtZXdvcmsveDg2XzY0 L3N5c3RlbS9saWIvbGliY2xjb3JlX3g4Ni5iYw== L3N5c3RlbS9iaW4vZ2VueW1vdGlvbi12Ym94LXNm b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649 EiVr3uqMs64iXZvdUSsZvPaMteaD6rW7om2E YW5kcm9pZC5oYXJkd2FyZS5jYW1lcmEuZmxhc2g= L3N5cy9jbGFzcy9uZXQvd2xhbjAvYWRkcmVzcw== Eq3EgZgbzOK1ZQk8XR4rTDiLvw1rIM 7c1186b732ad91a1ac00d5915ae691e9 QrMgt8GGYI6T52ZY5AnhtxkLzb8egpFn3j5JELI8H6wtACbUnZ5cc3aYTsTRbmkAkRJeYbtx92LPBWm7nBO9UIl7y5i5MQNmUZNf5QENurR5tGyo7yJ2G0MBjWvy6iAtlAbacKP0SwOUeUWx5dsBdyhxa7Id1APtybSdDgicBDuNjI0mlZFUzZSS9dmN8lBD0WTVOMz0pRZbR3cysomRXOO1ghqjJdTcyDIxzpNAEszN8RMGjrzyU7Hjbmwi6YNK
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/delilegal/headline/ui/business/BusinessDetailActivity.java, line(s) 6,478 com/delilegal/headline/ui/dynamic/DynamicDetailActivity.java, line(s) 6,539 com/delilegal/headline/ui/lawnews/LawNewsDetailActivity.java, line(s) 8,1728 com/delilegal/headline/ui/lawnews/LawnewsPosterActivity.java, line(s) 4,175 com/delilegal/headline/ui/lawyer/adapter/LawyerChatAdapter.java, line(s) 5,416 com/delilegal/headline/ui/main/ShareCommonFragment.java, line(s) 4,392 com/delilegal/headline/ui/majorcase/MainMajorcaseMoreDetailActivity.java, line(s) 5,576 com/delilegal/headline/ui/model/QuestionModelActivity.java, line(s) 5,1436,1670 com/delilegal/headline/ui/model/adapter/QuestionModelAdapter.java, line(s) 5,782 com/delilegal/headline/ui/model/fragment/ShareLinkFragment.java, line(s) 4,77 com/delilegal/headline/ui/question/QuestionMainFragment.java, line(s) 5,1404,1740 com/delilegal/headline/ui/special/SpecialDetailActivity.java, line(s) 5,565 com/delilegal/headline/widget/selectable/SelectableTextHelper.java, line(s) 4,265
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/f.java, line(s) 190 a4/a.java, line(s) 210,209 b9/b.java, line(s) 25,34,28,22,40,31,37 c0/c.java, line(s) 112 c4/c.java, line(s) 17,16 c4/d.java, line(s) 50,49 c4/f.java, line(s) 159,158 c4/s.java, line(s) 29,30 c4/t.java, line(s) 37,36 c8/g.java, line(s) 110,112,114,294,297,323,291,320 com/alibaba/idst/nui/CommonUtils.java, line(s) 147,174,192,205,53,69,77,93,99,104,109,116,185,273,282,293,305,350,221,223,392 com/alibaba/idst/nui/NativeNui.java, line(s) 128,148,19,21,35,121,123,132,141,143,175,234,278,284,290,306,356 com/allenliu/versionchecklib/core/AVersionService.java, line(s) 121,163 com/allenliu/versionchecklib/core/DownloadManager.java, line(s) 112,118,140,145,167,173,193 com/allenliu/versionchecklib/core/VersionDialogActivity.java, line(s) 46,167,198,269 com/allenliu/versionchecklib/core/http/AllenHttp.java, line(s) 41,45,66,101,121,160,177,181 com/allenliu/versionchecklib/utils/ALog.java, line(s) 9 com/allenliu/versionchecklib/v2/ui/BuilderHelper.java, line(s) 28 com/allenliu/versionchecklib/v2/ui/DownloadFailedActivity.java, line(s) 27,30,38 com/allenliu/versionchecklib/v2/ui/DownloadingActivity.java, line(s) 26,42,79 com/allenliu/versionchecklib/v2/ui/NotificationHelper.java, line(s) 112 com/allenliu/versionchecklib/v2/ui/UIActivity.java, line(s) 72,79,104,110,114 com/allenliu/versionchecklib/v2/ui/VersionService.java, line(s) 145,155,168,214,265,297 com/contrarywind/view/WheelView.java, line(s) 412 com/delilegal/headline/net/IStateObserver.java, line(s) 106 com/delilegal/headline/pathselector/utils/ReflectTools.java, line(s) 30,39 com/delilegal/headline/ui/channel/ChannelAdapter.java, line(s) 280 com/delilegal/headline/ui/lawcircle/article/ArticleEditText.java, line(s) 260 com/delilegal/headline/ui/lawcircle/camera/Camera2BasicFragment.java, line(s) 348,381,607 com/delilegal/headline/ui/push/receiver/MyReceiver.java, line(s) 33 com/delilegal/headline/ui/wisdomsearch/home/view/SearchQestionCommonActivity.java, line(s) 303,308,313,318 com/delilegal/headline/util/AliyunTokenUtils.java, line(s) 43,46,56,59 com/delilegal/headline/util/DateUtil.java, line(s) 207 com/delilegal/headline/util/Image.java, line(s) 99,152,234,238,241,244,288,60,182,186,259,264,269,274 com/delilegal/headline/util/VoiceUtils.java, line(s) 46,61,49,64,38,57 com/github/barteksc/pdfviewer/PDFView.java, line(s) 503,650 com/jaeger/ninegridimageview/NineGridImageView.java, line(s) 135 com/jcodecraeer/xrecyclerview/StickyScrollLinearLayout.java, line(s) 85,104,110,143,150,164,169,180,186 com/lljjcoder/style/citylist/CityListSelectActivity.java, line(s) 68 com/lljjcoder/style/citylist/sortlistview/CharacterParser.java, line(s) 33 com/lljjcoder/style/citypickerview/widget/wheel/adapters/AbstractWheelTextAdapter.java, line(s) 38 com/qmuiteam/qmui/widget/pullRefreshLayout/QMUIPullRefreshLayout.java, line(s) 706,758,931,675,863,875,905 com/qmuiteam/qmui/widget/tab/QMUIBasicTabSegment.java, line(s) 396 com/qmuiteam/qmui/widget/textview/QMUILinkTextView.java, line(s) 57,100,104,110,142,146 com/qmuiteam/qmui/widget/webview/QMUIWebView.java, line(s) 162,170,172 com/shockwave/pdfium/PdfiumCore.java, line(s) 34,187,191 e0/c.java, line(s) 59,76 e0/e.java, line(s) 74 e2/b.java, line(s) 21 e2/e.java, line(s) 86 f4/c.java, line(s) 80,79,89,103,104 f4/i.java, line(s) 179,186,283,293,306,317,338,342,347,356,359,364,375,383,178,185,282,292,305,316,337,341,346,355,358,363,374,382 f4/k.java, line(s) 38,44,39,45 f4/s.java, line(s) 124,129,141,150,157,125,130,142,151,158,159,160,164 f4/v.java, line(s) 151,150 f6/a.java, line(s) 31,37,45,52,60 g2/a.java, line(s) 31,45 h/g.java, line(s) 157,200,284 h1/a.java, line(s) 27 h1/b.java, line(s) 36,72,82 hb/c.java, line(s) 265 i/c.java, line(s) 291 i5/a.java, line(s) 129,170,155,181,193,215 j4/a.java, line(s) 90,95,100,115,91,96,101,116 j4/d.java, line(s) 23,24 j4/j.java, line(s) 42,43 j7/h.java, line(s) 16 k5/b.java, line(s) 34 kb/a.java, line(s) 60,74,100,114,118 kb/e.java, line(s) 237,236 l4/e.java, line(s) 37,36,59,82,60,83 l4/f.java, line(s) 25,19 l4/k.java, line(s) 112,113 l4/l.java, line(s) 204,205,219 l4/n.java, line(s) 91,92 l4/o.java, line(s) 99,100 m1/c.java, line(s) 195 m1/g.java, line(s) 171 m1/u.java, line(s) 78 m4/d.java, line(s) 62,69,80,85,61,68,73,79,84,74 me/drakeet/multitype/g.java, line(s) 26 me/zhanghai/android/materialprogressbar/BaseProgressLayerDrawable.java, line(s) 72 me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 121,129,321 n3/d.java, line(s) 30,38,50 n9/n0.java, line(s) 10,18,14 o0/a.java, line(s) 96,212,257,259,63,70,74,81,198,200,206,209,248,36,66,72,78,92,102,111,133,179 o0/b.java, line(s) 58,69,71,98,102,118,132,180,223,250,301,311,315,317,322,94,100,111,233,254,270,307 o4/h.java, line(s) 173,24,368,132 o8/a.java, line(s) 121 o8/g.java, line(s) 31,17,22,28,34,25 org/greenrobot/greendao/AbstractDao.java, line(s) 434,658,695 org/greenrobot/greendao/DaoException.java, line(s) 15,16 org/greenrobot/greendao/DaoLog.java, line(s) 15,47,51,27,31,55,39,59,19,43,63,67 org/greenrobot/greendao/DbUtils.java, line(s) 56,89 org/greenrobot/greendao/async/AsyncOperationExecutor.java, line(s) 291,301,313,397 org/greenrobot/greendao/internal/LongHashMap.java, line(s) 62 org/greenrobot/greendao/query/QueryBuilder.java, line(s) 93,96 org/greenrobot/greendao/test/AbstractDaoTest.java, line(s) 25,27,56 org/greenrobot/greendao/test/AbstractDaoTestLongPk.java, line(s) 28,31 org/greenrobot/greendao/test/AbstractDaoTestSinglePk.java, line(s) 30 org/greenrobot/greendao/test/DbTest.java, line(s) 59 p/c.java, line(s) 149 p/l.java, line(s) 48,49 p/o.java, line(s) 127 p3/b.java, line(s) 356 p4/i.java, line(s) 67,108,109,68 q5/c.java, line(s) 91,153 r2/a.java, line(s) 33 r2/b.java, line(s) 194,62,175,186 r2/c.java, line(s) 27 rx/internal/util/c.java, line(s) 21 s3/b.java, line(s) 17,18,16 s3/e.java, line(s) 195,204,151,194,201,152 t3/a.java, line(s) 302 t4/a.java, line(s) 65,66 u/b.java, line(s) 81,83 u/c.java, line(s) 135,137 u/e.java, line(s) 180,182 u0/b.java, line(s) 32 u3/a.java, line(s) 91,90 v1/a.java, line(s) 57 v2/a.java, line(s) 52,58 w3/b.java, line(s) 52,51 w3/j.java, line(s) 58,166,57,165,169,175,182,179,183 w3/l.java, line(s) 53,52 w6/d.java, line(s) 25,29,22 x3/c.java, line(s) 122,121 x3/e.java, line(s) 81,80 xa/f.java, line(s) 68,73 y0/a.java, line(s) 22 y3/i.java, line(s) 120,158,121,159 y3/k.java, line(s) 118,159,169,235,74,117,127,148,158,168,185,192,234,80,128,186,193,149 y5/c.java, line(s) 27,40 z3/e.java, line(s) 44,50,79,89,45,80,51,92 z3/i.java, line(s) 140,119
信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密
此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 Files: org/greenrobot/greendao/database/SqlCipherEncryptedHelper.java, line(s) 15,4,5
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: a6/g.java, line(s) 58,88 b6/a.java, line(s) 245,245 c6/b.java, line(s) 45,45,60,75
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: w2/b.java, line(s) 20,20,20,20,20,20
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cloud.cpatrk.net) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cn.register.xmpush.xiaomi.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.talkingdata.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (5b0988e595225.cdn.sohucs.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (resolver.msg.xiaomi.net) 通信。
{'ip': '222.186.18.190', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '深圳', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (me.cpatrk.net) 通信。
{'ip': '222.186.18.190', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '-Balkarskaya Respublika\x08Kabarole\x0bKaberamaido\x05Kabul\x06Kachin\x07Kadiogo\x06Kaduna\x04Kaeb\x08Kaffrine\x0fKafr ash Shaykh\x06Kagawa\x06K', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (b-ssl.duitang.com) 通信。
{'ip': '222.186.18.190', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (data.delilegal.com) 通信。
{'ip': '222.186.18.190', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '北京', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.weibo.cn) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (service.weibo.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.weibo.com) 通信。
{'ip': '222.186.18.190', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '222.186.18.190', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (url.cloud.huawei.com) 通信。
{'ip': '116.198.16.211', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.xiaomi.com) 通信。
{'ip': '116.198.16.211', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tdsdk.cpatrk.net) 通信。
{'ip': '116.198.16.211', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.delilegal.com) 通信。
{'ip': '47.106.253.49', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (headline.delilegal.com) 通信。
{'ip': '47.106.253.49', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.delilegal.com) 通信。
{'ip': '120.79.185.34', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.talkingdata.net) 通信。
{'ip': '116.196.122.26', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}