导航菜单

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

用信花 v1.1.3

Android APK 16e55ecb...
43
安全评分

安全基线评分

43/100

中风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

5 高危
10 中危
1 信息
2 安全

隐私风险评估

0
第三方跟踪器

隐私安全
未检测到第三方跟踪器


检测结果分布

高危安全漏洞 5
中危安全漏洞 10
安全提示信息 1
已通过安全项 2
重点安全关注 0

高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/sdk/q/b.java, line(s) 63,102
com/sdk/v/e.java, line(s) 66
i1/b.java, line(s) 217

高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
com/flayone/oaid/OAIDManager.java, line(s) 32
com/sdk/j/a.java, line(s) 26
e2/j0.java, line(s) 322,330
h1/o.java, line(s) 22,26

高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/duoshan/loan/ui/mine/activity/WebViewActivity.java, line(s) 242,12
com/just/agentweb/UrlLoaderImpl.java, line(s) 70,75,5

高危安全漏洞 已启用远程WebView调试

已启用远程WebView调试
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/just/agentweb/AgentWebConfig.java, line(s) 48,8

高危安全漏洞 启用了调试配置。生产版本不能是可调试的

启用了调试配置。生产版本不能是可调试的
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/netease/cloud/nos/yidun/BuildConfig.java, line(s) 3,8

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/duoshan/loan/view/IdCardCameraView.java, line(s) 473,492
com/just/agentweb/AgentWebUtils.java, line(s) 285,365
com/lxj/xpopup/util/h.java, line(s) 101,124
com/netease/cloud/nos/yidun/utils/Util.java, line(s) 237,237
com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 197
d1/c.java, line(s) 23,23
e2/g.java, line(s) 103,181
e2/w.java, line(s) 41,60,155
e2/x.java, line(s) 20,9

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/download/library/DownloadTask.java, line(s) 222
com/download/library/Downloader.java, line(s) 148,249,346,350
com/download/library/Runtime.java, line(s) 344,421
com/just/agentweb/AgentWebUtils.java, line(s) 572
com/netease/cloud/nos/yidun/utils/FileDigest.java, line(s) 21
com/sdk/b/a.java, line(s) 58,82
h1/j.java, line(s) 26
i1/b.java, line(s) 23
i1/j.java, line(s) 26

中危安全漏洞 IP地址泄露

IP地址泄露


Files:
b1/b.java, line(s) 18
c1/a.java, line(s) 29
com/just/agentweb/AbsAgentWebSettings.java, line(s) 11
com/netease/cloud/nos/yidun/core/AcceleratorConf.java, line(s) 14
com/netease/cloud/nos/yidun/utils/Util.java, line(s) 302,302
f1/f.java, line(s) 599
g1/g.java, line(s) 34,65
h1/c.java, line(s) 410
h1/i.java, line(s) 164
h1/k.java, line(s) 315
h1/l.java, line(s) 507,508
i1/p.java, line(s) 56,56,56,56

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/chuanglan/shanyan_sdk/view/CTCCPrivacyProtocolActivity.java, line(s) 108,110
com/just/agentweb/AbsAgentWebSettings.java, line(s) 38,22

中危安全漏洞 应用程序使用不安全的随机数生成器

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
c7/c.java, line(s) 9
c7/c0.java, line(s) 6
c7/d0.java, line(s) 8
c7/e1.java, line(s) 5
c7/g0.java, line(s) 21
c7/j0.java, line(s) 8
c7/j1.java, line(s) 5
c7/o.java, line(s) 12
c7/x.java, line(s) 12
com/hjq/permissions/PermissionFragment.java, line(s) 15
d7/b.java, line(s) 14
d8/a.java, line(s) 3
d8/b.java, line(s) 3
d8/c.java, line(s) 3
d8/d.java, line(s) 4
d8/e.java, line(s) 4
e8/a.java, line(s) 3
e9/d0.java, line(s) 18
f7/b.java, line(s) 19
i1/e.java, line(s) 4
r6/y.java, line(s) 8
u9/e.java, line(s) 19
u9/i.java, line(s) 5
w9/d0.java, line(s) 5

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/jeremyliao/liveeventbus/ipc/consts/IpcConst.java, line(s) 5
com/netease/cloud/nos/yidun/constants/Constants.java, line(s) 12,13,23
com/sdk/base/framework/bean/DataUtils.java, line(s) 198
i1/v.java, line(s) 119,83,95,107,72,41,51,62
p/h.java, line(s) 89
r/d.java, line(s) 42
r/p.java, line(s) 99
r/x.java, line(s) 85

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/flayone/oaid/imp/OppoDeviceIDHelper.java, line(s) 55
e1/f.java, line(s) 125
e2/s.java, line(s) 89
i1/b.java, line(s) 40

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
r7/q.java, line(s) 128,154
s7/e.java, line(s) 451,474,478,502

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
d1/e.java, line(s) 6,315
d1/f.java, line(s) 4,38,39

中危安全漏洞 此应用可能包含硬编码机密信息

从应用程序中识别出以下机密确保这些不是机密或私人信息
0ed1d16a3ab64878bc78634580217d79
258EAFA5-E914-47DA-95CA-C5AB0DC85B11

安全提示信息 应用程序记录日志信息,不得记录敏感信息

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/netease/cloud/nos/yidun/utils/LogUtil.java, line(s) 19,66,26,73,37,80,52,87,59,94,101
com/sdk/base/framework/utils/log/LogUtils.java, line(s) 18,55,65,83
com/sdk/p/f.java, line(s) 43,52
com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 170,188,208,227,243,261,274,285,290,301
d0/a.java, line(s) 72,104,111,118
e2/p0.java, line(s) 66
f0/e.java, line(s) 38
f0/f.java, line(s) 19
f0/o.java, line(s) 203
f9/d.java, line(s) 656
g0/e.java, line(s) 59,67
i0/k.java, line(s) 100
j0/f.java, line(s) 83
j0/r.java, line(s) 85
m0/b.java, line(s) 41
ma/g.java, line(s) 68
ma/n.java, line(s) 13
ma/o.java, line(s) 42
me/jessyan/autosize/AutoSize.java, line(s) 108
me/jessyan/autosize/AutoSizeConfig.java, line(s) 321,334,347,243
me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28
n/a.java, line(s) 385
n0/a.java, line(s) 61
o/d.java, line(s) 150
o/f.java, line(s) 152,176,195
q/e.java, line(s) 48
q9/c.java, line(s) 51,89,89
r/h.java, line(s) 370,384,526
r/i.java, line(s) 62
r/k.java, line(s) 38
r/z.java, line(s) 115
r7/d.java, line(s) 16,21,26,31,36,41,46,51,56,62,67,72,77,82,87,92,97,102,107,112,118
s/j.java, line(s) 144,205
s/k.java, line(s) 130,163,172,216,257,269,290,299
t/e.java, line(s) 62,86,96,125
t/l.java, line(s) 165
t8/a.java, line(s) 48
u/b.java, line(s) 45
v/a.java, line(s) 87
w/s.java, line(s) 115
w/t.java, line(s) 40
w2/b.java, line(s) 71,80
y/a.java, line(s) 87
z/f.java, line(s) 19
z/g0.java, line(s) 223
z/o.java, line(s) 225,245,263,268,275,283,319,413,431,451
z/q.java, line(s) 110,198,376,460,500
z/r.java, line(s) 46,55
z/w.java, line(s) 140
z2/b.java, line(s) 13

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
p9/c.java, line(s) 115,113,112
p9/d.java, line(s) 150,138,148,156,147,147,149
p9/g.java, line(s) 114,112,111,111
p9/h.java, line(s) 276,262,274,273,273
s1/f.java, line(s) 49,49

已通过安全项 此应用程序没有隐私跟踪程序

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

应用图标

用信花 v1.1.3

Android APK
43
综合安全评分
中风险