应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
肉视频 v3.1.4
44
安全评分
安全基线评分
44/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
4
高危
18
中危
2
信息
1
安全
隐私风险评估
1
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
4
中危安全漏洞
18
安全提示信息
2
已通过安全项
1
重点安全关注
2
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: e/g/a/a/h0/a.java, line(s) 30
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 70,75,5
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 48,8
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity-Alias (com.grass.mh.FiveActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.grass.mh.FourActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.grass.mh.ThreeActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.grass.mh.TwoActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.grass.mh.OneActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.grass.mh.Default) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity (com.grass.mh.ui.mine.activity.LoginActivity) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/grass/mh/ui/community/ReleaseActivity.java, line(s) 46 com/grass/mh/ui/home/HomeFeaturedFragment.java, line(s) 58 com/scwang/smartrefresh/header/FunGameBattleCityHeader.java, line(s) 15 com/scwang/smartrefresh/header/TaurusHeader.java, line(s) 28 e/c/a/a/d/b.java, line(s) 6 e/h/a/o0/c/v6.java, line(s) 10 e/o/a/a/b/a.java, line(s) 7 i/q/a.java, line(s) 7 i/q/b.java, line(s) 4 i/q/c/a.java, line(s) 4
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/danikula/videocache/StorageUtils.java, line(s) 14,34 com/grass/mh/utils/DownloadApkUtil.java, line(s) 60,60 com/just/agentweb/AgentWebUtils.java, line(s) 303,360,384 com/lv/downloadvideo/utils/DataCacheUtils.java, line(s) 79 com/lv/downloadvideo/utils/StorageUtils.java, line(s) 26,46,46,55,74 com/lxj/xpopup/util/navbar/OSUtils.java, line(s) 2382 com/maning/updatelibrary/utils/MNUtils.java, line(s) 20 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 115 e/l/b/g/f.java, line(s) 81 e/m/b/a.java, line(s) 29 org/dsq/library/callback/M3u8FileConvert.java, line(s) 18
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,63 e/m/a/f/d.java, line(s) 3,4,24,25,26,27,38,41,44,47 m/b/b/f/f.java, line(s) 4,50
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/danikula/videocache/ProxyCacheUtils.java, line(s) 44 com/just/agentweb/AgentWebUtils.java, line(s) 575 com/lv/downloadvideo/utils/MD5Utils.java, line(s) 9 e/e/a/d0.java, line(s) 186,204
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/lv/downloadvideo/utils/DataCacheUtils.java, line(s) 16 com/lv/downloadvideo/utils/SPHelper.java, line(s) 10 com/lzy/okgo/cache/CacheEntity.java, line(s) 14 com/lzy/okgo/exception/CacheException.java, line(s) 17,13 e/d/a/m/o/o.java, line(s) 87
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/danikula/videocache/HttpProxyCacheServer.java, line(s) 30 e/p/a/e/b.java, line(s) 90
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/grass/mh/ui/mine/activity/OnlineServiceActivity.java, line(s) 66,70
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 41,24
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_CHANNEL" : "kd08" 0000016742C00BDA259000000168CE0F13200000016588840DCE7118A0002FBF1C31C3275D78
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: c/b/a/n.java, line(s) 35 c/b/b/a/a.java, line(s) 72 c/b/e/b.java, line(s) 138,171,183,193,355 c/b/f/b0.java, line(s) 96,164 c/b/f/d.java, line(s) 253 c/b/f/e0.java, line(s) 22,32 c/b/f/h.java, line(s) 30 c/b/f/n.java, line(s) 97,106,178 c/b/f/o.java, line(s) 117 c/b/f/u.java, line(s) 85,119,211,225,269 c/b/f/v.java, line(s) 31 c/d/a/e2.java, line(s) 11,17,16,22,23,28,36,37 c/d/a/f2.java, line(s) 65 c/d/a/r2/f/a.java, line(s) 16 c/h/c/a/c.java, line(s) 37,115 c/h/c/a/e.java, line(s) 187,194 c/h/c/a/j.java, line(s) 333,364,601,736,835,870,202 c/h/c/a/o.java, line(s) 240,245 c/h/d/a.java, line(s) 218,110,267 c/h/d/c.java, line(s) 1048,1837,2596,2068,272,356,381,399,1064,1097,1657,1920,1966,1992,2684,2691 c/h/d/e.java, line(s) 89 c/j/a/d.java, line(s) 30 c/j/b/b/e.java, line(s) 42 c/j/c/c.java, line(s) 41,46 c/j/c/d.java, line(s) 60 c/j/c/e.java, line(s) 49 c/j/c/g/d.java, line(s) 25,48 c/j/d/b.java, line(s) 22 c/j/h/d.java, line(s) 184,216 c/j/h/l.java, line(s) 19,30 c/j/h/o.java, line(s) 124,201,539,551,558,567,48,190 c/k/a/b.java, line(s) 362 c/n/a/a.java, line(s) 358,541,673,683,692,698,729,815,879,941,1082,1093,1100,1202,1265,1457,1549,1618,1670,1704,1736,1766,1946,387,91,562,870,889,897,1132,1143,1410,1419,1595 c/o/a/a.java, line(s) 46,179,192,204 c/o/a/j0.java, line(s) 17 c/o/a/n.java, line(s) 1336,1359,1366,410,1004,415,1262,1007,1078 c/o/a/r.java, line(s) 103,117 c/o/a/u.java, line(s) 88,37,45,53,59 c/o/a/v.java, line(s) 71,122,242,266,353,380,419,440,457,469,557,632,673,768,778,233,339,499,517,523,568,605,703,812 c/o/a/w.java, line(s) 106,116 c/s/f.java, line(s) 41,47 c/s/h.java, line(s) 35 c/s/i.java, line(s) 32,64 c/s/j.java, line(s) 28 c/s/k.java, line(s) 39 c/s/m.java, line(s) 32 c/s/n.java, line(s) 34 c/t/a.java, line(s) 176,190,43,62,76,80,90,68,84,94,138 c/x/d.java, line(s) 32 c/x/z.java, line(s) 44 com/contrarywind/view/WheelView.java, line(s) 334 com/danikula/videocache/HttpProxyCacheDebuger.java, line(s) 35,56,70,42,49 com/grass/mh/App.java, line(s) 120 com/grass/mh/player/BrushVideoPlayer.java, line(s) 167 com/grass/mh/player/tiktok/TikTokPlayer.java, line(s) 133 com/grass/mh/ui/comment/InputTextDialog.java, line(s) 99 com/grass/mh/ui/mine/activity/AddGroupActivity.java, line(s) 78 com/grass/mh/ui/shortvideo/ShortVideoFollowListFragment.java, line(s) 229 com/grass/mh/ui/shortvideo/ShortVideoListFragment.java, line(s) 218 com/grass/mh/utils/CThreadPoolExecutor.java, line(s) 39,115,40,83,120 com/grass/mh/utils/KeyBoardChangeListener.java, line(s) 23 com/grass/mh/view/WheelView.java, line(s) 267 com/grass/mh/view/gridpager/PagerConfig.java, line(s) 13,19 com/grass/mh/view/gridpager/PagerGridLayoutManager.java, line(s) 415,419,502,506 com/grass/mh/viewmodel/VideoPlayerModel.java, line(s) 36 com/just/agentweb/AgentWebUtils.java, line(s) 155,126,127,135,148 com/just/agentweb/AgentWebView.java, line(s) 56,87,100,35,225 com/just/agentweb/DefaultChromeClient.java, line(s) 269,275 com/just/agentweb/DefaultDownloadImpl.java, line(s) 253 com/just/agentweb/JsCallJava.java, line(s) 115,68,42,81 com/just/agentweb/JsCallback.java, line(s) 69 com/just/agentweb/LogUtils.java, line(s) 9,24,38,14,32 com/lv/downloadvideo/M3U8DownloadTask.java, line(s) 126,163,335,352 com/lv/downloadvideo/M3U8Downloader.java, line(s) 53,102,175,187,193,198,203,221,247,276,281,297 com/lv/downloadvideo/utils/DataCacheUtils.java, line(s) 65 com/lv/downloadvideo/utils/M3U8Log.java, line(s) 11,17 com/lv/downloadvideo/utils/SPHelper.java, line(s) 18 com/lxj/xpopup/util/XPermission.java, line(s) 87 com/lxj/xpopup/util/navbar/OSUtils.java, line(s) 726,2390 com/maning/updatelibrary/InstallUtils.java, line(s) 147 com/maning/updatelibrary/http/DownloadFileUtils.java, line(s) 235 com/tbruyelle/rxpermissions2/RxPermissionsFragment.java, line(s) 46,89 com/yalantis/ucrop/UCropActivity.java, line(s) 505 com/yalantis/ucrop/view/OverlayView.java, line(s) 225,228 com/yalantis/ucrop/view/TransformImageView.java, line(s) 68,152,207 e/a/a/a/a.java, line(s) 283 e/c/a/a/a/a.java, line(s) 15,28 e/c/a/a/c/b/d.java, line(s) 80,79 e/c/a/a/d/b.java, line(s) 44,47 e/c/a/a/d/d/a.java, line(s) 142 e/d/a/c.java, line(s) 232,245,250,253,269,279,231,238,244,249,252,268,275,370,239,371 e/d/a/g.java, line(s) 333,296,297 e/d/a/h.java, line(s) 94,93 e/d/a/j/a.java, line(s) 294 e/d/a/k/d.java, line(s) 177,204,174,203 e/d/a/k/e.java, line(s) 93,114,132,92,113,131 e/d/a/l/a/c/h.java, line(s) 65,155,168,185,276,62,118,154,163,180 e/d/a/l/a/c/i.java, line(s) 327,298,326,354,378,314,364,403 e/d/a/l/a/c/j.java, line(s) 17,18 e/d/a/m/n/b.java, line(s) 49,48 e/d/a/m/n/j.java, line(s) 47,116,168,44,115,167,171,177,184,181,187 e/d/a/m/n/l.java, line(s) 50,49 e/d/a/m/n/o/b.java, line(s) 93,92 e/d/a/m/o/a0/e.java, line(s) 49,81,93,103,50,94,82,106 e/d/a/m/o/a0/k.java, line(s) 92,77 e/d/a/m/o/b0/a.java, line(s) 69,68 e/d/a/m/o/h.java, line(s) 137,138 e/d/a/m/o/j.java, line(s) 22,158 e/d/a/m/o/y.java, line(s) 65,66 e/d/a/m/o/z/i.java, line(s) 138,175,142,180 e/d/a/m/o/z/j.java, line(s) 58,69,170,214,53,57,68,117,125,135,165,182,201,213,118,126,155,187,202 e/d/a/m/p/c.java, line(s) 16,15 e/d/a/m/p/d.java, line(s) 41,40 e/d/a/m/p/f.java, line(s) 98,97 e/d/a/m/p/s.java, line(s) 96,97 e/d/a/m/p/t.java, line(s) 38,37 e/d/a/m/q/a.java, line(s) 81,121,92,131 e/d/a/m/q/c/j.java, line(s) 21,26,22,29 e/d/a/m/q/c/m.java, line(s) 49,52,50,53 e/d/a/m/q/c/q.java, line(s) 51,57,63,69,75,82,88,102,111,52,58,64,70,76,83,89,112,103 e/d/a/m/q/c/y.java, line(s) 85,94,101,86,95,102,103,104,108 e/d/a/m/q/g/a.java, line(s) 66,136,143,150,74,139,146,153 e/d/a/m/q/g/c.java, line(s) 19,20 e/d/a/m/q/g/i.java, line(s) 46,47 e/d/a/n/e.java, line(s) 40,37,81,102,82,103 e/d/a/n/o.java, line(s) 64,65 e/d/a/n/p.java, line(s) 210,211,222 e/d/a/q/i/d.java, line(s) 45,91,92,46 e/d/a/q/i/j.java, line(s) 66,115,116,67 e/d/a/s/j/a.java, line(s) 39,42 e/f/b/a.java, line(s) 92 e/g/a/a/e0/f/e.java, line(s) 161 e/g/a/a/g0/p/g.java, line(s) 87 e/g/a/a/g0/q/h.java, line(s) 226 e/g/a/a/g0/r/c.java, line(s) 96 e/g/a/a/g0/r/h.java, line(s) 302 e/g/a/a/g0/r/o.java, line(s) 120,126,182 e/g/a/a/g0/s/a.java, line(s) 49 e/g/a/a/h.java, line(s) 80 e/g/a/a/h0/j.java, line(s) 306,326,331 e/g/a/a/i.java, line(s) 272,274,282,284,333,338 e/g/a/a/k0/k/a.java, line(s) 88,91 e/g/a/a/k0/l/c.java, line(s) 159,73,170,527,536,546 e/g/a/a/k0/n/c.java, line(s) 65 e/g/a/a/k0/n/d.java, line(s) 105 e/g/a/a/k0/n/e.java, line(s) 70 e/g/a/a/l0/j.java, line(s) 80 e/g/a/a/o.java, line(s) 311,320,331 e/g/a/b/a/g.java, line(s) 47 e/g/a/b/p/a.java, line(s) 316 e/g/a/b/t/b.java, line(s) 120,155 e/g/a/b/u/a.java, line(s) 41 e/h/a/o0/d/b1.java, line(s) 15 e/h/a/v.java, line(s) 51 e/m/a/f/a.java, line(s) 63,71,90,95,116 e/m/b/a.java, line(s) 70,74 e/m/b/b/b.java, line(s) 181,185 e/r/a/l/b.java, line(s) 47,89,161,167,175,186,203 e/r/a/m/b.java, line(s) 79,83,92,112,134,164,177,183,40,76,82,85,91,109,131,144,159,173,176,179,182,185 m/b/a/f.java, line(s) 10,15 m/b/b/a.java, line(s) 326 org/dsq/library/widget/CacheM3u8FilePlayer.java, line(s) 64 org/dsq/library/widget/bigImage/SubsamplingScaleImageView.java, line(s) 639,208,212,388,392,460,795,800,811,820,1521,1730,2051 org/dsq/library/widget/bigImage/decoder/SkiaPooledImageRegionDecoder.java, line(s) 119 org/greenrobot/greendao/DaoException.java, line(s) 16,17
安全提示信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密
此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 Files: org/greenrobot/greendao/database/SqlCipherEncryptedHelper.java, line(s) 18,8,9
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: e/m/a/g/a.java, line(s) 82,48,81,69,80,80
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tc-bj-alijs-1324672756.cos.ap-beijing.myqcloud.com) 通信。
{'ip': '140.249.68.168', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '济南', 'latitude': '36.668331', 'longitude': '116.997223'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (clsp.fun) 通信。
{'ip': '140.249.68.168', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
综合安全基线评分总结
肉视频 v3.1.4
Android APK
44
综合安全评分
中风险