安全分析报告:
安全分数
安全分数 46/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
4
中危
9
信息
2
安全
2
关注
0
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: g/e.java, line(s) 518,594
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: g/f.java, line(s) 110,11,12
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/lt/app/u0/f1.java, line(s) 13
中危 Activity (com.lt.app.JumpActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 IP地址泄露
IP地址泄露 Files: com/lt/plugin/d0.java, line(s) 119,118,120,128 com/lt/plugin/y1/e.java, line(s) 15 g/l/a/k.java, line(s) 75
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/lt/plugin/x1.java, line(s) 121,904 f/g/d/a.java, line(s) 84 f/g/d/b.java, line(s) 73
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: g/l/a/l0/e.java, line(s) 15 h/u/a.java, line(s) 3 h/u/b.java, line(s) 4 h/u/d/a.java, line(s) 4
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/lt/app/App.java, line(s) 158 com/lt/app/r0.java, line(s) 67 g/l/a/l0/e.java, line(s) 94
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/lt/app/App.java, line(s) 159
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: g/j/a/m.java, line(s) 191,190
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: f/o/c.java, line(s) 276
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "http_auth_p" : "Password" 6148523063484D364C79396E4C6E6C7062575675633256764C6D356C6443383D
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/afollestad/materialdialogs/internal/c.java, line(s) 109 com/github/ybq/android/spinkit/f/d.java, line(s) 133 com/lt/app/r0.java, line(s) 347 com/lt/app/u0/n0.java, line(s) 53 com/lt/app/u0/o0.java, line(s) 38 com/lt/app/u0/u0.java, line(s) 539,1754,1845 com/lt/app/views/n0.java, line(s) 329,330,362 com/lt/app/views/o0.java, line(s) 160,165,169,173,177,181,184,247,231,265,208,215 com/lt/plugin/p1.java, line(s) 572 f/a/n/g.java, line(s) 246,317,356 f/e/a/d.java, line(s) 340 f/e/a/m/f.java, line(s) 181 f/e/b/a/a.java, line(s) 96,99 f/e/b/b/k.java, line(s) 789,692 f/g/d/f/e.java, line(s) 25 f/g/d/f/f.java, line(s) 60 f/g/d/f/j.java, line(s) 332,350,356,119,127,176 f/g/e/d.java, line(s) 432,437 f/g/e/f.java, line(s) 50 f/g/e/g.java, line(s) 40,53 f/g/e/h.java, line(s) 56,90 f/g/e/k.java, line(s) 82,85 f/g/e/l.java, line(s) 136 f/g/h/f.java, line(s) 32 f/g/j/b.java, line(s) 57,68,70,84,87,106,108 f/g/l/d0.java, line(s) 1723,1545,1722 f/g/l/e.java, line(s) 57 f/g/l/e0.java, line(s) 41,52 f/g/l/g0.java, line(s) 51,72,93,120,141,156,171 f/g/l/j.java, line(s) 21,30 f/g/l/l0.java, line(s) 393,519,148,160,167,176,45,67,510 f/g/l/m0/c.java, line(s) 164 f/g/l/n.java, line(s) 69 f/g/l/o0/c.java, line(s) 141 f/i/b/c.java, line(s) 292 f/n/a/b.java, line(s) 142,151,169 f/o/a.java, line(s) 83,109,419,421,92,94,101,105,356,377,384,386,395,68,86,137,146,156,257,311,380,388,392 f/o/c.java, line(s) 59,69,71,108,130,167,177,181,183,188,201,203,211,277,291,118,134,150,173,197,205,312 f/q/b/c.java, line(s) 388,558,572,592 f/r/a.java, line(s) 62 f/s/i0.java, line(s) 101,124 f/s/y.java, line(s) 64,77,106,115,117 f/t/a/a/i.java, line(s) 1096,1099 g/e.java, line(s) 165,418,423,428,737,739 g/f.java, line(s) 38 g/g/a/f.java, line(s) 1066 g/i/a/a/b0/g.java, line(s) 569 g/i/a/a/l/h.java, line(s) 89 g/i/a/a/y/d.java, line(s) 171,214 g/i/a/a/z/b.java, line(s) 30 g/j/a/i.java, line(s) 13 g/j/a/m.java, line(s) 147,160 g/l/a/f0.java, line(s) 201,212,213 g/l/a/h.java, line(s) 112 g/l/a/i0/e0/c.java, line(s) 149 g/l/a/i0/j.java, line(s) 200,207,208,170,158 g/l/a/n.java, line(s) 462,427,589,655 g/l/b/g0/c.java, line(s) 30,44,80,72 g/l/b/g0/d.java, line(s) 65,66,67 g/l/b/i0/a.java, line(s) 60 g/l/b/j0/a.java, line(s) 52 g/l/b/l0/a.java, line(s) 598 g/l/b/r.java, line(s) 7 g/l/b/s.java, line(s) 339 me/zhanghai/android/materialprogressbar/BaseProgressLayerDrawable.java, line(s) 68 me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 121,131,298
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/lt/app/u0/u0.java, line(s) 6,1100 com/lt/app/views/g0.java, line(s) 6,217 com/lt/app/views/j0.java, line(s) 4,378
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: j/f0/c.java, line(s) 622,621,620,620
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。