应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告

用信花 v1.1.3
43
安全评分
安全基线评分
43/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
5
高危
10
中危
1
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
5
中危安全漏洞
10
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/sdk/q/b.java, line(s) 63,102 com/sdk/v/e.java, line(s) 66 i1/b.java, line(s) 217
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/flayone/oaid/OAIDManager.java, line(s) 32 com/sdk/j/a.java, line(s) 26 e2/j0.java, line(s) 322,330 h1/o.java, line(s) 22,26
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/duoshan/loan/ui/mine/activity/WebViewActivity.java, line(s) 242,12 com/just/agentweb/UrlLoaderImpl.java, line(s) 70,75,5
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 48,8
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/netease/cloud/nos/yidun/BuildConfig.java, line(s) 3,8
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/duoshan/loan/view/IdCardCameraView.java, line(s) 473,492 com/just/agentweb/AgentWebUtils.java, line(s) 285,365 com/lxj/xpopup/util/h.java, line(s) 101,124 com/netease/cloud/nos/yidun/utils/Util.java, line(s) 237,237 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 197 d1/c.java, line(s) 23,23 e2/g.java, line(s) 103,181 e2/w.java, line(s) 41,60,155 e2/x.java, line(s) 20,9
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/download/library/DownloadTask.java, line(s) 222 com/download/library/Downloader.java, line(s) 148,249,346,350 com/download/library/Runtime.java, line(s) 344,421 com/just/agentweb/AgentWebUtils.java, line(s) 572 com/netease/cloud/nos/yidun/utils/FileDigest.java, line(s) 21 com/sdk/b/a.java, line(s) 58,82 h1/j.java, line(s) 26 i1/b.java, line(s) 23 i1/j.java, line(s) 26
中危安全漏洞 IP地址泄露
IP地址泄露 Files: b1/b.java, line(s) 18 c1/a.java, line(s) 29 com/just/agentweb/AbsAgentWebSettings.java, line(s) 11 com/netease/cloud/nos/yidun/core/AcceleratorConf.java, line(s) 14 com/netease/cloud/nos/yidun/utils/Util.java, line(s) 302,302 f1/f.java, line(s) 599 g1/g.java, line(s) 34,65 h1/c.java, line(s) 410 h1/i.java, line(s) 164 h1/k.java, line(s) 315 h1/l.java, line(s) 507,508 i1/p.java, line(s) 56,56,56,56
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/chuanglan/shanyan_sdk/view/CTCCPrivacyProtocolActivity.java, line(s) 108,110 com/just/agentweb/AbsAgentWebSettings.java, line(s) 38,22
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: c7/c.java, line(s) 9 c7/c0.java, line(s) 6 c7/d0.java, line(s) 8 c7/e1.java, line(s) 5 c7/g0.java, line(s) 21 c7/j0.java, line(s) 8 c7/j1.java, line(s) 5 c7/o.java, line(s) 12 c7/x.java, line(s) 12 com/hjq/permissions/PermissionFragment.java, line(s) 15 d7/b.java, line(s) 14 d8/a.java, line(s) 3 d8/b.java, line(s) 3 d8/c.java, line(s) 3 d8/d.java, line(s) 4 d8/e.java, line(s) 4 e8/a.java, line(s) 3 e9/d0.java, line(s) 18 f7/b.java, line(s) 19 i1/e.java, line(s) 4 r6/y.java, line(s) 8 u9/e.java, line(s) 19 u9/i.java, line(s) 5 w9/d0.java, line(s) 5
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/jeremyliao/liveeventbus/ipc/consts/IpcConst.java, line(s) 5 com/netease/cloud/nos/yidun/constants/Constants.java, line(s) 12,13,23 com/sdk/base/framework/bean/DataUtils.java, line(s) 198 i1/v.java, line(s) 119,83,95,107,72,41,51,62 p/h.java, line(s) 89 r/d.java, line(s) 42 r/p.java, line(s) 99 r/x.java, line(s) 85
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/flayone/oaid/imp/OppoDeviceIDHelper.java, line(s) 55 e1/f.java, line(s) 125 e2/s.java, line(s) 89 i1/b.java, line(s) 40
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: r7/q.java, line(s) 128,154 s7/e.java, line(s) 451,474,478,502
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: d1/e.java, line(s) 6,315 d1/f.java, line(s) 4,38,39
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 0ed1d16a3ab64878bc78634580217d79 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/netease/cloud/nos/yidun/utils/LogUtil.java, line(s) 19,66,26,73,37,80,52,87,59,94,101 com/sdk/base/framework/utils/log/LogUtils.java, line(s) 18,55,65,83 com/sdk/p/f.java, line(s) 43,52 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 170,188,208,227,243,261,274,285,290,301 d0/a.java, line(s) 72,104,111,118 e2/p0.java, line(s) 66 f0/e.java, line(s) 38 f0/f.java, line(s) 19 f0/o.java, line(s) 203 f9/d.java, line(s) 656 g0/e.java, line(s) 59,67 i0/k.java, line(s) 100 j0/f.java, line(s) 83 j0/r.java, line(s) 85 m0/b.java, line(s) 41 ma/g.java, line(s) 68 ma/n.java, line(s) 13 ma/o.java, line(s) 42 me/jessyan/autosize/AutoSize.java, line(s) 108 me/jessyan/autosize/AutoSizeConfig.java, line(s) 321,334,347,243 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28 n/a.java, line(s) 385 n0/a.java, line(s) 61 o/d.java, line(s) 150 o/f.java, line(s) 152,176,195 q/e.java, line(s) 48 q9/c.java, line(s) 51,89,89 r/h.java, line(s) 370,384,526 r/i.java, line(s) 62 r/k.java, line(s) 38 r/z.java, line(s) 115 r7/d.java, line(s) 16,21,26,31,36,41,46,51,56,62,67,72,77,82,87,92,97,102,107,112,118 s/j.java, line(s) 144,205 s/k.java, line(s) 130,163,172,216,257,269,290,299 t/e.java, line(s) 62,86,96,125 t/l.java, line(s) 165 t8/a.java, line(s) 48 u/b.java, line(s) 45 v/a.java, line(s) 87 w/s.java, line(s) 115 w/t.java, line(s) 40 w2/b.java, line(s) 71,80 y/a.java, line(s) 87 z/f.java, line(s) 19 z/g0.java, line(s) 223 z/o.java, line(s) 225,245,263,268,275,283,319,413,431,451 z/q.java, line(s) 110,198,376,460,500 z/r.java, line(s) 46,55 z/w.java, line(s) 140 z2/b.java, line(s) 13
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: p9/c.java, line(s) 115,113,112 p9/d.java, line(s) 150,138,148,156,147,147,149 p9/g.java, line(s) 114,112,111,111 p9/h.java, line(s) 276,262,274,273,273 s1/f.java, line(s) 49,49
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结

用信花 v1.1.3
Android APK
43
综合安全评分
中风险