安全分析报告:
安全分数
安全分数 43/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
6
中危
15
信息
2
安全
2
关注
19
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/daoxuehao/webview/DXHWebView.java, line(s) 232,17
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/daoxuehao/webview/DXHWebView.java, line(s) 439,17
高危 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/lft/data/dao/DataAccessDao.java, line(s) 324
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/daoxuehao/webview/DXHWebViewClient.java, line(s) 107,106
高危 使用弱加密算法
使用弱加密算法 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/lft/turn/util/g1.java, line(s) 305,316
中危 Activity设置了TaskAffinity属性
(com.lft.turn.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.lft.turn.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.lft.turn.pay.WeChatPayActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.lft.turn.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.lft.turn.pay.QQCallBackActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/an/zxing/CaptureActivity.java, line(s) 159 com/daoxuehao/android/commondir/CommonDir.java, line(s) 74,14,16,140,143,152,164,167 com/daoxuehao/android/commondir/CommonDirManager.java, line(s) 131,207,229,82,138,158,171,171,236 com/daoxuehao/android/dxcamera/util/c.java, line(s) 49 com/daoxuehao/android/dxcamera/util/d.java, line(s) 79 com/daoxuehao/camarelibs/DrawImageActivity.java, line(s) 189 com/daoxuehao/camarelibs/LftCamareActivity.java, line(s) 511 com/daoxuehao/camarelibs/NoteImageCropActivity.java, line(s) 26,27 com/daoxuehao/camarelibs/e/c.java, line(s) 22,25,26 com/daoxuehao/lftvocieplayer/promotion/DirManager.java, line(s) 13,14 com/daoxuehao/paita/takephoto/single/TpActivity.java, line(s) 614 com/github/mikephil/charting/charts/Chart.java, line(s) 553,600 com/lft/turn/download/openfile/FileActivity.java, line(s) 40 com/lft/turn/util/w.java, line(s) 98,122,124,171 com/sixedu/accompany/live/LiveStreamingActivity.java, line(s) 1208 com/sixedu/accompany/live/c.java, line(s) 20 com/sixedu/d/a.java, line(s) 27 com/skylight/cttstreamingplayer/MainActivity$11.java, line(s) 14 com/skylight/schoolcloud/MainActivity.java, line(s) 409 d/b/b/h.java, line(s) 37 d/b/b/i.java, line(s) 29,33 d/d/a/a/l/d.java, line(s) 123,151 g/a.java, line(s) 323
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/an/zxing/BaseActivity.java, line(s) 25 com/an/zxing/CaptureActivity.java, line(s) 52 com/an/zxing/ShowActivity.java, line(s) 19,18 com/skylight/schoolcloud/MainActivity.java, line(s) 408 rx/internal/schedulers/NewThreadWorker.java, line(s) 27,36
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/theartofdev/edmodo/cropper/CropImageActivity.java, line(s) 64 com/theartofdev/edmodo/cropper/c.java, line(s) 106 lombok/installer/OsUtils.java, line(s) 22 lombok/x/a/a.java, line(s) 202
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/fdw/wedgit/f.java, line(s) 6,7,66 com/fdw/wedgit/m.java, line(s) 5,6,27
中危 IP地址泄露
IP地址泄露 Files: com/lft/turn/MyApplication.java, line(s) 183 com/sixedu/MainActivity.java, line(s) 16,18 com/sky/qcloud/sdk/model/user/e.java, line(s) 15,28 com/skylight/schoolcloud/MainActivity.java, line(s) 2052,2761,460
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: d/b/b/j.java, line(s) 31,84 net/sourceforge/simcpux/b.java, line(s) 12 net/sourceforge/simcpux/c.java, line(s) 24,81,104,118
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/esotericsoftware/kryo/util/ObjectMap.java, line(s) 7 com/lft/turn/pay/PayBaseActivity.java, line(s) 20 lombok/core/debug/AssertionLogger.java, line(s) 8
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/daoxuehao/webview/DXHWebView.java, line(s) 140,141,142,143,217,456
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/daoxuehao/webview/DXHWebView.java, line(s) 211,217,456
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 百度自动更新SDK的=> "BDAPPID" : "6428584" 凭证信息=> "IFLYTEK_APPKEY" : "'55b1a7e3'" 百度自动更新SDK的=> "BDAPPKEY" : "I1hGhjxuOfgzIz8zNEjmtixQ" D759871FB128B034DDB85F709AA01531 e29e08f6-5c0d-1e0d-90e8-0262f9f9c613 25d55ad283aa400af464c76d713c07ad 2Fc3489d9cabd9c02f17bca79a3033ba22 83443868-d0cc-d599-1d9d-e23a1911a98b 92eeb32f-470c-0074-fd63-39171798c304 00d71af34736b401d2081cfa294651cb
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/an/zxing/camera/CameraConfigurationManager.java, line(s) 65 com/daoxuehao/camarelibs/e/d.java, line(s) 31,40 com/daoxuehao/paita/a/c.java, line(s) 20 com/daoxuehao/paita/widget/a.java, line(s) 376 com/esotericsoftware/kryo/Kryo.java, line(s) 665,985,1142,413 com/esotericsoftware/kryo/serializers/VersionFieldSerializer.java, line(s) 48,65 com/esotericsoftware/kryo/util/DefaultClassResolver.java, line(s) 88 com/esotericsoftware/kryo/util/Util.java, line(s) 112,134 com/esotericsoftware/minlog/Log.java, line(s) 66 com/fdw/wedgit/e.java, line(s) 179,180,181,182,183,211,212,213,214,215 com/lft/data/dao/DataAccessDao.java, line(s) 297 com/thin/downloadmanager/k/a.java, line(s) 16,23,30,37,44,51,58,65,72,79,86,93,112,119,126,133,140,147,154,161,168 d/b/b/m.java, line(s) 92 de/javakaffee/kryoserializers/JdkProxySerializer.java, line(s) 24 io/paperdb/DbStoragePlainFile.java, line(s) 315 lombok/bytecode/PoolConstantsApp.java, line(s) 70,71,53,57,59,63,67 lombok/bytecode/PostCompilerApp.java, line(s) 89,90,59,66,70,78,85 lombok/core/DiagnosticsReceiver.java, line(s) 7,12 lombok/core/Main.java, line(s) 88,45,78 lombok/core/PublicApiCreatorApp.java, line(s) 39,47,60,123,87,112 lombok/core/Version.java, line(s) 14,16 lombok/core/configuration/ConfigurationProblemReporter.java, line(s) 13 lombok/core/debug/FileLog.java, line(s) 24 lombok/core/debug/ProblemReporter.java, line(s) 72,80,88 lombok/core/runtimeDependencies/CreateLombokRuntimeApp.java, line(s) 92,170,110,113,115,132,159 lombok/delombok/Delombok.java, line(s) 244,246,277,320,323,333,343,344,236,259,261,262,263,264,266,267,339 lombok/delombok/DelombokApp.java, line(s) 63 lombok/eclipse/TransformEclipseAST.java, line(s) 70 lombok/eclipse/handlers/EclipseSingularsRecipes.java, line(s) 68,80 lombok/installer/Installer.java, line(s) 212,213,214,243,245,248,251,253,256,269,272,277,278,279,208,289 lombok/javac/CompilerMessageSuppressor.java, line(s) 93 lombok/javac/HandlerLibrary.java, line(s) 128 lombok/javac/JavacAST.java, line(s) 152 lombok/javac/JavacResolution.java, line(s) 220 lombok/javac/JavacTreeMaker.java, line(s) 417,474 lombok/javac/handlers/HandleBuilder.java, line(s) 479 lombok/javac/handlers/HandleVal.java, line(s) 101,112 lombok/javac/handlers/JavacSingularsRecipes.java, line(s) 46,58 lombok/patcher/ClassRootFinder.java, line(s) 81 lombok/patcher/ScriptManager.java, line(s) 139,153 lombok/patcher/Version.java, line(s) 10 lombok/patcher/scripts/SetSymbolDuringMethodCallScript.java, line(s) 121 lombok/permit/Permit.java, line(s) 149,152,288,290 org/greenrobot/eventbus/f.java, line(s) 48,53 rx/internal/util/IndexedRingBuffer.java, line(s) 64 rx/internal/util/RxRingBuffer.java, line(s) 26 rx/plugins/RxJavaHooks.java, line(s) 334 top/zibin/luban/d.java, line(s) 332 uk/co/senab2/photoview2/d.java, line(s) 61 uk/co/senab2/photoview2/f/c.java, line(s) 8,33,13,38,18,43,23,48,28,53
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/lft/turn/util/g1.java, line(s) 8,240
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/daoxuehao/mvp/api/HttpRequestManger.java, line(s) 29,29
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (s3.cn-north-1.amazonaws.com.cn) 通信。
{'ip': '101.226.28.235', 'country_short': 'XH\x04újH\x04\x07\x0bM\x04Ôå\x07BV\x95éB\x00¯÷ßWXH\x04újH\x04´ÕL\x04\x18éþAÉ\x8fêB\x00°÷ßWXH\x04újH\x04\x07\x0bM\x04Ôå\x07BV\x95éB\x00´÷ßWXH\x04újH\x04\\\x0bT\x04\x02+ùA', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (radar-test.daoxuehao.com) 通信。
{'ip': '47.106.94.192', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pc.daoxuehao.com) 通信。
{'ip': '47.112.125.222', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dxhslb.daoxuehao.com) 通信。
{'ip': '139.129.86.32', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dxh-test.daoxuehao.com) 通信。
{'ip': '121.42.232.6', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (blog.csdn.net) 通信。
{'ip': '203.119.169.227', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '蚌埠', 'latitude': '32.940971', 'longitude': '117.360832'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.12389.gov.cn) 通信。
{'ip': '59.63.226.15', 'country_short': 'CN', 'country_long': '中国', 'region': '江西', 'city': '南昌', 'latitude': '28.683331', 'longitude': '115.883331'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.10010.com) 通信。
{'ip': '203.119.169.227', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (search-slb.daoxuehao.com) 通信。
{'ip': '139.129.76.18', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lamp.daoxuehao.com) 通信。
{'ip': '139.129.86.32', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.daoxuehao.com) 通信。
{'ip': '121.42.252.202', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hydra.alibaba.com) 通信。
{'ip': '203.119.169.227', 'country_short': 'i\x07Siguiri\x0fSiguldas novads\x05Siirt\x07Sikasso\x06Sikkim\x04Sila\x07Siliana\x08Silistra\x06Simiyu\x08Sinajana\x07Sinaloa\x05Sindh\tSing Buri\tSingapore\x08', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.163.com) 通信。
{'ip': '49.79.224.241', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (oss.daoxuehao.com) 通信。
{'ip': '139.129.86.32', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (client-cloud.sixtec.cn) 通信。
{'ip': '47.112.125.222', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lftresource.daoxuehao.com) 通信。
{'ip': '61.162.15.242', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '济宁', 'latitude': '35.404999', 'longitude': '116.581390'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.52lft.com) 通信。
{'ip': '149.29.87.184', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (demo.mall.10010.com) 通信。
{'ip': '123.125.96.188', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (radar.daoxuehao.com) 通信。
{'ip': '114.215.164.93', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}