安全分析报告:
安全分数
安全分数 45/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
4
用户/设备跟踪器
调研结果
高危
7
中危
38
信息
1
安全
2
关注
61
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/dyxc/WebService/normal/NormalWebActivity.java, line(s) 266,8
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: hc/f.java, line(s) 92,118 s2/b.java, line(s) 65
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/xiaoe/shop/webcore/core/webview/CustomAndroidWebView.java, line(s) 161,21,22 r5/e.java, line(s) 52,11
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: m0/a.java, line(s) 77 rich/c.java, line(s) 467,155
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: ib/a.java, line(s) 207,206 ib/b.java, line(s) 185,184
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: hc/e1.java, line(s) 8,9,10,11,12,4 hc/q1.java, line(s) 31,7,8,9,10,11,12
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Activity (com.dyxc.banxue.MainActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.dyxc.banxue.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.dyxc.banxue.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.dyxc.banxue.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PopWinActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.android.service.JTransitActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.service.DActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.component.audioplayer.service.AudioService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.huawei.hms.support.api.push.PushProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.meizu.cloud.pushsdk.MzPushSystemReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.meizu.flyme.permission.PUSH [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (cn.jpush.android.service.PluginMeizuPlatformsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.meizu.flyme.permission.PUSH [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.vivo.push.sdk.service.CommandClientService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.push.permission.UPSTAGESERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (cn.jpush.android.service.PluginXiaomiPlatformsReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (cn.jpush.android.service.PluginOppoPushService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.heytap.msp.push.service.CompatibleDataMessageCallbackService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.heytap.msp.push.service.DataMessageCallbackService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: b0/b.java, line(s) 20 cb/a.java, line(s) 3 com/dyxc/videobusiness/ui/DemoVideoPlayerActivity.java, line(s) 66 com/dyxc/videobusiness/view/AiuLineScrollView.java, line(s) 18 com/dyxc/videobusiness/view/AiuLineView.java, line(s) 13 com/dyxc/videobusiness/xdanmu/DanmuAdapter.java, line(s) 13 com/dyxc/videobusiness/ydanmu/YDanmuViewLayout.java, line(s) 17 com/rich/oauth/core/RichAuth.java, line(s) 35 com/tencent/aai/task/net/VoiceIdFactory.java, line(s) 5 com/tencent/qimei/j/a.java, line(s) 10 com/tencent/qimei/o/u.java, line(s) 31 com/tencent/qimei/s/e.java, line(s) 3 com/tencent/qmsp/sdk/f/c.java, line(s) 7 d0/h.java, line(s) 18 m0/a.java, line(s) 8 n0/j.java, line(s) 47 net/jpountz/xxhash/e.java, line(s) 3 rich/q0.java, line(s) 10 s9/d.java, line(s) 47 z4/e.java, line(s) 3
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a5/a.java, line(s) 52 com/dyxc/commonservice/f.java, line(s) 28 com/rich/oauth/util/EncryptUtils.java, line(s) 248 com/rich/oauth/util/MD5Utils.java, line(s) 15 com/rich/oauth/util/PackageUtil.java, line(s) 24 com/tencent/aai/task/net/VoiceIdFactory.java, line(s) 15 com/tencent/qimei/j/a.java, line(s) 31 com/tencent/qmsp/oaid2/l.java, line(s) 83 com/tencent/qmsp/sdk/a/c.java, line(s) 42,111 com/tencent/qmsp/sdk/d/a.java, line(s) 17 com/tencent/qmsp/sdk/g/b/c.java, line(s) 76 ic/a.java, line(s) 218 n4/k.java, line(s) 114,131,419 rich/c.java, line(s) 177 s9/e.java, line(s) 26 t9/c.java, line(s) 18 t9/d.java, line(s) 28,10
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: ba/b.java, line(s) 63 com/dyxc/videobusiness/utils/s.java, line(s) 280 com/rich/oauth/util/LogToFile.java, line(s) 75,103,110 com/tencent/aai/audio/utils/FileUtils.java, line(s) 23,37,55,69,79 com/tencent/aai/audio/utils/WavCache.java, line(s) 36,133,142,253,308,320,335,347,365,384,509 com/tencent/qmsp/sdk/d/b.java, line(s) 61 com/xiaoe/shop/webcore/core/file/FileValueCallbackMiddleActivity.java, line(s) 377,397 com/xiaoe/shop/webcore/jssdk/image/imageselector/ImageSelectorActivity.java, line(s) 167 com/xiaoe/shop/webcore/jssdk/image/imageselector/b.java, line(s) 431 com/xiaoe/shop/webcore/jssdk/image/preview/MoreImageShowActivity.java, line(s) 209,363 component/imageselect/matisse/crop/CropActivity.java, line(s) 135 component/imageselect/matisse/internal/ui/NetImagePreviewItemFragment.java, line(s) 237 ic/a.java, line(s) 62 lc/a.java, line(s) 31,32,33 lc/c.java, line(s) 10 n4/k.java, line(s) 277,169 n8/b.java, line(s) 54,79,49,74 n8/c.java, line(s) 49 r0/b.java, line(s) 530,812,813 r5/d.java, line(s) 61 r9/j.java, line(s) 17 s0/c.java, line(s) 12,24,28 s9/d.java, line(s) 137,158,403,428,583,608,610 v/c.java, line(s) 93,146 w6/b.java, line(s) 302 w9/a.java, line(s) 28,168
中危 IP地址泄露
IP地址泄露 Files: com/dyxc/banxue/f.java, line(s) 156 com/dyxc/studybusiness/sports/videoupload/TXUGCPublish.java, line(s) 210 com/dyxc/studybusiness/sports/videoupload/impl/c.java, line(s) 115 com/tencent/msdk/dns/a.java, line(s) 48,46 com/tencent/qimei/c/c.java, line(s) 207,220 com/tencent/qimei/upload/BuildConfig.java, line(s) 13 n4/l.java, line(s) 131,173,199 u7/d.java, line(s) 20 u7/f.java, line(s) 16
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/dyxc/studybusiness/sports/videoupload/impl/c.java, line(s) 254 com/tencent/msdk/dns/core/rest/share/f.java, line(s) 29 y0/d.java, line(s) 86
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/tencent/qimei/y/g.java, line(s) 47,46 com/tencent/qimei/y/k.java, line(s) 41,46 o/b.java, line(s) 33,23 o/c.java, line(s) 28,21 r5/e.java, line(s) 68,60
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: ca/c1.java, line(s) 153 com/tencent/aai/auth/LocalCredentialProvider.java, line(s) 26 com/tencent/qmsp/oaid2/h0.java, line(s) 79 com/tencent/qmsp/sdk/g/g/e.java, line(s) 110 hc/x.java, line(s) 14 p0/a.java, line(s) 83 q0/b.java, line(s) 11 q0/c.java, line(s) 31,80 s9/f.java, line(s) 9 u7/b.java, line(s) 27 wb/b.java, line(s) 120
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: net/jpountz/util/Native.java, line(s) 84
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/dyxc/passservice/login/ui/view/CSPWebView.java, line(s) 68,64 com/tencent/qimei/y/g.java, line(s) 49,46 com/tencent/qimei/y/k.java, line(s) 48,46
中危 应用程序包含隐私跟踪程序
此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 vivo推送的=> "com.vivo.push.api_key" : "42cb0b623e671680c62337446c742446" 魅族推送的=> "MEIZU_APPKEY" : "MZ-c4dbd0e3435c43bb8d522251fa18d031" 极光推送的=> "JPUSH_APPKEY" : "a713b4c32e1f688036af7826" vivo推送的=> "com.vivo.push.app_id" : "105513628" OPPO推送的=> "OPPO_APPKEY" : "OP-2f7a7ab421a549ea93ab9e303a799750" 小米推送的=> "XIAOMI_APPKEY" : "MI-5832005692037" 小米推送的=> "XIAOMI_APPID" : "MI-2882303761520056037" 魅族推送的=> "MEIZU_APPID" : "MZ-150727" 极光推送的=> "JPUSH_CHANNEL" : "developer-default" 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=104783433" OPPO推送的=> "OPPO_APPSECRET" : "OP-b6e12132b4ca40ffad83743b315a7a0d" openinstall统计的=> "com.openinstall.APP_KEY" : "emtv5z" OPPO推送的=> "OPPO_APPID" : "OP-30646575" vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI" "umcsdk_oauth_version_name" : "v1.4.1" MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuyqBGJVxu+5Z2ZwItIhl nFD+sYU2rkUVZgpwO7ly+THBFw/YcZNwS094NBdhzxmCCFbCKHVNzDLirlV9T2q4k nBCau4hdVwFpRmb9NIuqavDeHKP9BKPZ01Ra5/666NGKBqmkRRer3lBCe6EKNUc2U nKwvjX9o3OmnnqWMGbIiFYIpc21QeG7aqizuWdXlgS5M9rstDfHQfG/AaPElJ7Yix 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 178161a4-26a5-4f84-96d3-6acea1909a06 ipsmn8bG/7fgnOpPZHEHyBXUm9Q2O2pHHuR5FpPSdrDDLzn8AkUvK+Pfwy7+0H42 Y29tLnRlbmNlbnQuYW5kcm9pZC5xcWRvd25sb2FkZXI= 47EADE37FC79B59B6FBB319C181210F6 3493c85c-f35a-488f-9a8f-633e747fb141 L3N5c3RlbS9ldGMvZXhjbHVkZWQtaW5wdXQtZGV2aWNlcy54bWw= fe13f13c-c2cc-4998-b525-038b23bfa9b5 b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649 8cf23e49079f0b19fa6a9d1ddfb8b6cd 831D11C5AD93244B6F17CB65936ABFCE 46e627f539db2b091d28d7f1c2bc3641 L3N5c3RlbS9iaW4vZHJvaWQ0eC1wcm9w 0e45493117b1f2837cf8946ace1423f0 51a9b556bc8b23a117b494fc711130c1 nJhjaEmyCOtSU6+mdjcHhbcbF6lKYx8tfQlpPmyM5suFY138qtEoB4b+q/j8q22MI fb194c01-2ff6-4b4e-afbd-a00289124c4c 69e4d819-04cb-4f5f-ba29-dd4798e76641 af7a74f5-5cb6-423e-b428-d05c0d36478d adaddcffe4bfd578b8cb667d08227d3d L3N5c3RlbS9saWI2NC9saWJjbGNvcmVfeDg2LmJj 15fc0eea-1091-4a28-a9b6-8caaf6013cf1 a6287f74-46f0-42f9-b5d9-997f00585696 YW5kcm9pZC5oYXJkd2FyZS5ibHVldG9vdGg= 2213bcd0-7d15-4da0-a619-e32d522572c0 noxI53CVpYUR3OWAQyAQNcMhDDf3nGsxLLHP8kGWqrpLn1uAIgI+EIAl0sM+i1leD 6d5204312f7d645d72ab41b4e43dea7b YW5kcm9pZC5oYXJkd2FyZS5jYW1lcmEuZmxhc2g= L3N5c3RlbS9saWIvbGliY2xjb3JlX3g4Ni5iYw== 02434ec0969e811e8d211a4583ce2cbfa86ac312 0b927d99-e38a-4f51-8d1a-598fd4d6ee97 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDNFGdEpQ1d8cPqekvvEDQyBGnI 1a9d30ca-54be-411e-8b09-d72ef4488e05 L3N5cy9jbGFzcy9uZXQvd2xhbjAvYWRkcmVzcw== 300727ff-52ef-4c0b-82cd-0c3eaaff5a41 AKIDIQ4d1ECvQhnfQzMZaeu32teFizIVjkbG be58b2df546e0739ec49dbe99d16883d L3N5c3RlbS9iaW4vZ2VueW1vdGlvbi12Ym94LXNm a8c412fa-f696-4ff2-9c76-e8ed9cdffe0f L3N5c3RlbS9mcmFtZXdvcmsveDg2XzY0 664eae17940d5a4c495c6092 62d6575588ccdf4b7ed65bfb 62b4c40f-ad3c-4099-a59a-bfbe324a461c X5RZUCrTt575UkocNyOdnupqfYNCuOel e908e91f-370f-49ad-b4ce-775b7e7a05b4 zxcvbnmlkjhgfdsaqwertyuiopQWERTYUIOPASDFGHJKLZXCVBNM1234567890 bGV2ZWxfaXBhX3RzcmlmLnRjdWRvcnAub3I= nkO0ykg5qH942X8poQ+a9GgBUeDBpY4GSIv6/qq+zJxiJxpoL0SGKAP3FlcuLr07f 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 L3N5c3RlbS9iaW4vbmVtdVZNLXByb3A= 6fc905581c69c0c098c2ad2cc5f6e54a 604a87fc-e7bc-463e-8d56-cde7e661d690 L3N5c3RlbS9iaW4vbWljcm92aXJ0LXByb3A=
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a1/e.java, line(s) 49,90 b7/e.java, line(s) 192 c1/b.java, line(s) 41 com/dyxc/banxue/APP.java, line(s) 25 com/dyxc/banxue/MainActivity.java, line(s) 316,321,328 com/dyxc/banxue/splash/SplashActivity.java, line(s) 185,190 com/dyxc/minebusiness/ui/DeviceManagerActivity.java, line(s) 313,343 com/dyxc/videobusiness/ui/Demo3PlayerActivity.java, line(s) 899 com/dyxc/videobusiness/ui/DemoMultipleVideoPlayerActivity.java, line(s) 430 com/dyxc/videobusiness/ui/DemoProPlayerActivity.java, line(s) 806 com/dyxc/videobusiness/utils/s.java, line(s) 386 com/liteav/audio2/route/a.java, line(s) 25,91,139,53,99,108,113,123,135 com/liteav/audio2/route/b.java, line(s) 31,59,27,38,47 com/rich/oauth/util/SHA256Util.java, line(s) 36 com/tencent/live2/impl/V2TXLiveUtils.java, line(s) 163,142,145 com/tencent/live2/impl/a.java, line(s) 83 com/tencent/msdk/dns/base/log/b.java, line(s) 18 com/tencent/tmediacodec/f/a.java, line(s) 21,39,51,27,15,33,45 com/xiaoe/shop/webcore/jssdk/image/preview/widget/photoview/a.java, line(s) 20 d1/a.java, line(s) 86 i9/d.java, line(s) 78 j1/e.java, line(s) 36 j1/f.java, line(s) 14 j1/k.java, line(s) 178 l2/b.java, line(s) 100 m1/j.java, line(s) 66 net/jpountz/lz4/LZ4Factory.java, line(s) 93,94 net/jpountz/util/Native.java, line(s) 52 rich/h.java, line(s) 31 rich/m0.java, line(s) 13 t9/a.java, line(s) 71 w0/a.java, line(s) 313 x0/d.java, line(s) 102 x0/e.java, line(s) 73,97,116 x9/a.java, line(s) 301 z0/j.java, line(s) 63,159,161,167,173
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: hc/k1.java, line(s) 117,192 i9/c.java, line(s) 40,29,38,38
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: l0/b.java, line(s) 22,22,22,22,22,22
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cloud.tencent.com) 通信。
{'ip': '117.69.72.231', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hpplay.cdn.cibn.cc) 通信。
{'ip': '117.69.72.231', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test03-m.douyuxingchen.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cn.register.xmpush.xiaomi.com) 通信。
{'ip': '117.69.72.231', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (adeng.hpplay.cn) 通信。
{'ip': '117.69.72.231', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pre-mapi.douyuxingchen.com) 通信。
{'ip': '117.91.199.31', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test-m.douyuxingchen.com) 通信。
{'ip': '82.157.151.224', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mapi.douyuxingchen.com) 通信。
{'ip': '117.69.72.231', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.douyuxingchen.com) 通信。
{'ip': '117.69.72.231', 'country_short': 'CN', 'country_long': '中国', 'region': '江西', 'city': '赣州', 'latitude': '25.850000', 'longitude': '114.933327'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (license.vod2.myqcloud.com) 通信。
{'ip': '82.157.151.224', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '苏州', 'latitude': '33.636440', 'longitude': '116.978851'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test02-m.douyuxingchen.com) 通信。
{'ip': '82.157.151.224', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wap.cmpassport.com) 通信。
{'ip': '1.14.243.163', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.lebo.cn) 通信。
{'ip': '1.14.243.163', 'country_short': 'CN', 'country_long': '中国', 'region': '江西', 'city': '新余', 'latitude': '27.804291', 'longitude': '114.933350'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vipauth.hpplay.cn) 通信。
{'ip': '1.14.243.163', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.3322.org) 通信。
{'ip': '117.91.199.31', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '106.39.206.32', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.xunfei.cn) 通信。
{'ip': '117.91.199.31', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pin.hpplay.cn) 通信。
{'ip': '1.14.243.163', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.douyuxingchen.com) 通信。
{'ip': '106.39.206.32', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (conf.hpplay.cn) 通信。
{'ip': '115.150.38.211', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (asr.cloud.tencent.com) 通信。
{'ip': '183.60.176.112', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (logconf.iflytek.com) 通信。
{'ip': '115.150.38.211', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。
{'ip': '82.157.151.224', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e.189.cn) 通信。
{'ip': '115.150.38.211', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tun-cos-1258344701.file.myqcloud.com) 通信。
{'ip': '115.150.38.211', 'country_short': 'CN', 'country_long': '中国', 'region': '江西', 'city': '赣州', 'latitude': '25.850000', 'longitude': '114.933327'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (beian.miit.gov.cn) 通信。
{'ip': '1.14.243.54', 'country_short': 'CN', 'country_long': '中国', 'region': '湖北', 'city': '武汉', 'latitude': '30.583330', 'longitude': '114.266853'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (logu.hpplay.cn) 通信。
{'ip': '1.14.243.54', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (devicemgr.hpplay.cn) 通信。
{'ip': '1.14.243.54', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test.hpplay.cn) 通信。
{'ip': '122.152.230.114', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vodreport.qcloud.com) 通信。
{'ip': '1.14.243.54', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bm.zhugexuetang.com) 通信。
{'ip': '117.50.36.30', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test03-mapi.douyuxingchen.com) 通信。
{'ip': '82.157.151.224', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (misdkauth.hpplay.cn) 通信。
{'ip': '1.14.243.54', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yuwencdn.kaishustory.com) 通信。
{'ip': '115.231.140.98', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '衢州', 'latitude': '28.959440', 'longitude': '118.868607'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vipimdns.hpplay.cn) 通信。
{'ip': '1.14.243.220', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vosdkauth.hpplay.cn) 通信。
{'ip': '1.14.243.220', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (gslb.hpplay.cn) 通信。
{'ip': '1.14.243.105', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cdnauth1.hpplay.cn) 通信。
{'ip': '101.91.0.148', 'country_short': 'CN', 'country_long': '中国', 'region': '陕西', 'city': '咸阳', 'latitude': '34.337780', 'longitude': '108.702606'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ssdkauth.hpplay.cn) 通信。
{'ip': '1.14.243.123', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (rps.hpplay.cn) 通信。
{'ip': '58.218.89.42', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '徐州', 'latitude': '34.266666', 'longitude': '117.166664'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dev.voicecloud.cn) 通信。
{'ip': '114.118.65.89', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (htrace.wetvinfo.com) 通信。
{'ip': '101.91.34.240', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (playvideo.qcloud.com) 通信。
{'ip': '58.216.6.113', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '222.186.18.191', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (oauth.baina.com) 通信。
{'ip': '120.79.48.187', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.iflytek.com) 通信。
{'ip': '103.8.33.178', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (nvs.im.tencent.cn) 通信。
{'ip': '221.229.52.232', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (resolver.msg.xiaomi.net) 通信。
{'ip': '118.26.252.209', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test02-mapi.douyuxingchen.com) 通信。
{'ip': '82.157.151.224', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (opencloud.wostore.cn) 通信。
{'ip': '210.22.123.92', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (openapi.openspeech.cn) 通信。
{'ip': '114.118.65.97', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (iss.openspeech.cn) 通信。
{'ip': '42.62.43.145', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sl.hpplay.cn) 通信。
{'ip': '1.14.243.133', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.xfyun.cn) 通信。
{'ip': '114.118.67.116', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.zhugexuetang.com) 通信。
{'ip': '117.50.36.30', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5-pay.sdk.xiaoe-tech.com) 通信。
{'ip': '121.5.97.176', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test-mapi.douyuxingchen.com) 通信。
{'ip': '82.157.151.224', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cdnauth2.hpplay.cn) 通信。
{'ip': '113.137.54.210', 'country_short': 'CN', 'country_long': '中国', 'region': '陕西', 'city': '咸阳', 'latitude': '34.337780', 'longitude': '108.702606'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vipgslb.hpplay.cn) 通信。
{'ip': '1.14.243.65', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (uat.hpplay.cn) 通信。
{'ip': '47.112.158.161', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}