页面标题
页面副标题
移动应用安全检测报告
test.apk v1.0.0
46
安全评分
安全基线评分
46/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
4
高危
11
中危
2
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
4
中危安全漏洞
11
安全提示信息
2
已通过安全项
2
重点安全关注
0
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: g3/l2.java, line(s) 13
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/t.java, line(s) 109,10,11
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/k.java, line(s) 585,671
中危安全漏洞 Activity (com.lt.app.JumpActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: f4/a.java, line(s) 3 f4/b.java, line(s) 4 g4/b.java, line(s) 4 u2/d.java, line(s) 15
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/lt/app/App.java, line(s) 328 f3/a0.java, line(s) 112 u2/d.java, line(s) 94
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: c1/g.java, line(s) 62 e1/d.java, line(s) 31 e1/p.java, line(s) 37 e1/x.java, line(s) 68
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: h2/k.java, line(s) 379,378
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: l0/c.java, line(s) 232
中危安全漏洞 IP地址泄露
IP地址泄露 Files: j2/e.java, line(s) 504 m3/r.java, line(s) 117,116,118,126 n3/d.java, line(s) 15
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: m3/z1.java, line(s) 506,344
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/lt/app/App.java, line(s) 329
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "http_auth_p" : "Password" 6148523063484D364C79396E4C6E6C7062575675633256764C6D4E754C773D3D
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/c.java, line(s) 127 a1/b.java, line(s) 402 a3/a.java, line(s) 60 b1/d.java, line(s) 76,103,75,102 b1/e.java, line(s) 560,581,599,559,580,598 b2/d.java, line(s) 163 b3/a.java, line(s) 96 c/d.java, line(s) 306,310 com/k.java, line(s) 144,258,448,458 com/t.java, line(s) 37 d1/c.java, line(s) 107,106 d1/e.java, line(s) 64,63 d3/a.java, line(s) 421 e1/h.java, line(s) 545,283,298,544,390 e1/i.java, line(s) 51,52 e1/k.java, line(s) 14,199 e1/q.java, line(s) 142 e1/z.java, line(s) 76,136,66,75,135,67 f1/i.java, line(s) 110,150,111,151 f1/k.java, line(s) 108,149,160,172,72,107,117,138,148,159,171,202,209,78,118,203,210,139 f3/a0.java, line(s) 522 g1/e.java, line(s) 41,51,65,71,42,66,54,72 g1/i.java, line(s) 123,107 g3/c0.java, line(s) 178,199,893 g3/j.java, line(s) 77 h1/a.java, line(s) 274,271 h2/c.java, line(s) 13 h2/k.java, line(s) 102,118 i1/c.java, line(s) 16,15 i1/d.java, line(s) 53,52 i1/g.java, line(s) 149,148 i1/t.java, line(s) 67,70 i1/u.java, line(s) 64,69,82,98,65,70,85,101 i1/v.java, line(s) 35,34 j2/a.java, line(s) 246 j2/f0.java, line(s) 199,210,211 j2/k.java, line(s) 672,433,506,581 k1/n.java, line(s) 89,103 l0/a.java, line(s) 188,224,268,270,65,72,74,80,210,212,218,221,257,38,68,76,83,96,105,116,177,191 l0/c.java, line(s) 58,69,71,92,148,170,203,205,233,249,288,300,304,306,311,158,174,189,199,207,216,296 l1/e.java, line(s) 16,17 l1/g0.java, line(s) 113,118,130,139,146,114,119,131,140,147,148,149,153 l1/k0.java, line(s) 156,163,207,266,155,162,204,265 l1/m.java, line(s) 174,181,273,283,295,307,325,335,338,341,344,347,361,366,173,180,272,282,294,306,324,334,337,340,343,346,360,365 l1/t.java, line(s) 105,125,104,124,205,272,308,206,273,379 l1/u.java, line(s) 35,41,36,42 l1/y.java, line(s) 75,97,103,109,115,121,129,98,104,110,116,122,130,76 l3/h1.java, line(s) 156,168,172,176,180,184,187,194,264,286,240,247 l3/z0.java, line(s) 83,158,159 m2/e.java, line(s) 143,150,151,158,165 m3/a1.java, line(s) 649 me/zhanghai/android/materialprogressbar/BaseProgressLayerDrawable.java, line(s) 70 me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 121,131,307 n/d.java, line(s) 157 o2/c.java, line(s) 69 p1/a.java, line(s) 80,85,90,99,81,86,91,100 p1/d.java, line(s) 21,22 p1/j.java, line(s) 39,42 q0/b.java, line(s) 31 r1/e.java, line(s) 12,11 r1/q.java, line(s) 95,96 r1/r.java, line(s) 224,144,191,223,269,145,192,270 s/a.java, line(s) 96,99 s1/d.java, line(s) 34,52,57,62,41,33,40,45,51,56,61,46 u1/i.java, line(s) 243,18,295,189 v1/i.java, line(s) 57,98,99,58 w0/f.java, line(s) 1030 w2/q.java, line(s) 7 w2/r.java, line(s) 515 x/f.java, line(s) 139 x0/e.java, line(s) 42 y2/c.java, line(s) 30,44,80,72 y2/d.java, line(s) 165,166,167 z1/a.java, line(s) 63,64
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: g3/c0.java, line(s) 5,1450 l3/c0.java, line(s) 4,207 l3/m.java, line(s) 5,477
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: s4/c.java, line(s) 433,432,431,431
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
test.apk v1.0.0
Android APK
46
综合安全评分
中风险