应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
アザス v1.5.2
55
安全评分
安全基线评分
55/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
14
中危
1
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
14
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/reactnativecommunity/webview/RNCWebViewManager.java, line(s) 1387,36,37
中危安全漏洞 Broadcast Receiver (io.invertase.firebase.messaging.ReactNativeFirebaseMessagingReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (app.notifee.core.NotificationReceiverActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (app.notifee.core.AlarmPermissionBroadcastReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: h7/m0.java, line(s) 5,6,69,86,360,394,413,422,472,579 h7/t0.java, line(s) 4,5,136 n0/a.java, line(s) 4,5,6,7,79,124
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/lwansbrough/RCTCamera/RCTCameraModule.java, line(s) 360,393 com/rnfs/RNFSManager.java, line(s) 601,590,592,595,623 com/terrylinla/rnsketchcanvas/b.java, line(s) 254,262 io/invertase/firebase/utils/ReactNativeFirebaseUtilsModule.java, line(s) 113,120,121,122 n3/a.java, line(s) 290 x3/a.java, line(s) 54
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/lwansbrough/RCTCamera/RCTCameraModule.java, line(s) 417 ea/c.java, line(s) 79 n3/a.java, line(s) 137
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: dd/z.java, line(s) 13 e8/c.java, line(s) 4 qd/d.java, line(s) 17 qd/h.java, line(s) 5
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a4/c.java, line(s) 10 ea/b.java, line(s) 55
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: io/invertase/notifee/NotifeeEventSubscriber.java, line(s) 17,25
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "API_URL" : "https://api.azas-token.com" "google_api_key" : "AIzaSyBB27JdKQp5rIn_zjbCALphSddAQlA8YuI" "google_app_id" : "1:970676142245:android:1012a97c4b73db95228d4c" "google_crash_reporting_api_key" : "AIzaSyBB27JdKQp5rIn_zjbCALphSddAQlA8YuI" 1ddaa4b892e61b0f7010597ddc582ed3 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 e3f6979135e34ea0babd0a4eedb22cbc 24b2477514809255df232947ce7928c4
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/c.java, line(s) 166 a7/e.java, line(s) 36,65,72,75,92,97,102,107,112 app/notifee/core/Logger.java, line(s) 14,19,25,31,37,42,47 app/notifee/core/RebootBroadcastReceiver.java, line(s) 13 ce/a.java, line(s) 73 com/imagepicker/a.java, line(s) 15 com/imagepicker/c.java, line(s) 29 com/imagepicker/f.java, line(s) 41,50 com/lugg/RNCConfig/RNCConfigModule.java, line(s) 31,35 com/lwansbrough/RCTCamera/RCTCameraModule.java, line(s) 336,366,374,388,411,419,544,647 com/lwansbrough/RCTCamera/a.java, line(s) 114,129,213 com/lwansbrough/RCTCamera/b.java, line(s) 157,175,185,349,398,478 com/lwansbrough/RCTCamera/e.java, line(s) 217,344,289 com/masteratul/exceptionhandler/DefaultErrorScreen.java, line(s) 85,96 com/reactcommunity/rndatetimepicker/c.java, line(s) 60,155 com/reactnativecommunity/webview/RNCWebViewManager.java, line(s) 871,132,145,856,873 com/reactnativecommunity/webview/RNCWebViewModule.java, line(s) 263,268,310,315,339,426,450 com/reactnativemmkv/MmkvModule.java, line(s) 39,28,34,36 com/swmansion/gesturehandler/react/g.java, line(s) 78,129 com/swmansion/gesturehandler/react/h.java, line(s) 52 com/swmansion/reanimated/NativeProxy.java, line(s) 273 com/swmansion/reanimated/ReanimatedModule.java, line(s) 306 com/swmansion/reanimated/b.java, line(s) 84 com/swmansion/reanimated/f.java, line(s) 18 com/swmansion/reanimated/nodes/i.java, line(s) 21 com/swmansion/rnscreens/ScreenStackHeaderConfigViewManager.java, line(s) 27 com/terrylinla/rnsketchcanvas/b.java, line(s) 277 com/th3rdwave/safeareacontext/g.java, line(s) 108 d/a.java, line(s) 102 d0/c.java, line(s) 145 d7/a.java, line(s) 15,22,29,14,21,28,42,43,49,50 ea/b.java, line(s) 59,76 ed/c.java, line(s) 412 fa/c.java, line(s) 93,96,118,126,127,148,154 fr/bamlab/rnimageresizer/ImageResizerModule.java, line(s) 102 g1/m0.java, line(s) 111 g9/d.java, line(s) 134,167 gc/f.java, line(s) 67 h/g.java, line(s) 152,188,265 h0/c.java, line(s) 83 h2/g.java, line(s) 27 h9/b.java, line(s) 32 hc/b.java, line(s) 35 i/c.java, line(s) 277 io/invertase/firebase/app/a.java, line(s) 15 io/invertase/firebase/messaging/ReactNativeFirebaseMessagingModule.java, line(s) 184 io/invertase/firebase/messaging/ReactNativeFirebaseMessagingReceiver.java, line(s) 16,37 io/invertase/firebase/utils/ReactNativeFirebaseUtilsModule.java, line(s) 99 io/invertase/notifee/i0.java, line(s) 105,224 m0/c.java, line(s) 37,40,52,30,44 m4/f.java, line(s) 13 mc/g.java, line(s) 39 mc/l.java, line(s) 58,227 n9/d.java, line(s) 173,243,247,259 nd/c.java, line(s) 52,52,72 o7/g.java, line(s) 35 p/a.java, line(s) 56 p/b.java, line(s) 66 p/f.java, line(s) 204 p0/a.java, line(s) 36 q/c.java, line(s) 398,403 q/e.java, line(s) 84 q/f.java, line(s) 41,76 q/g.java, line(s) 56,114 q/j.java, line(s) 97,100 q/k.java, line(s) 96 q0/k.java, line(s) 54,66,81 q0/k0.java, line(s) 38,47,49 q0/u0.java, line(s) 37,123 q7/b.java, line(s) 63,76,52 q7/d.java, line(s) 85,98,123,171,186,281,83,97,122,166,185,276,119,135,147,193,214,255 q7/h.java, line(s) 15,12,12 q7/r.java, line(s) 39,79,145,35,77,92,140,190,218,247,280,93,191,219,248,281,47,180 q7/s.java, line(s) 25 q7/u.java, line(s) 35,49,27,41 q7/x.java, line(s) 51,46 q7/y.java, line(s) 50,33,70 q8/a.java, line(s) 81,85 q9/f.java, line(s) 34,41,44,53,87 q9/n.java, line(s) 128 r/a.java, line(s) 95,104,162,172 r/e.java, line(s) 36,68 r8/a.java, line(s) 113,203,150,217 t7/a.java, line(s) 18 t7/a1.java, line(s) 29 t7/b0.java, line(s) 95,98,127,130,133,164,169 t7/c.java, line(s) 180,198,330,334,338,344 t7/c1.java, line(s) 45 t7/e0.java, line(s) 26 t7/i.java, line(s) 37,43,49,32,55,61 t7/i1.java, line(s) 49,54 t7/l1.java, line(s) 50 t7/v0.java, line(s) 31 t7/y0.java, line(s) 101 t7/z0.java, line(s) 28 ta/k.java, line(s) 123 ta/m.java, line(s) 44,119 u4/d.java, line(s) 13 u8/h.java, line(s) 51 ud/g.java, line(s) 25,30 v/d.java, line(s) 27,31,35 v/l.java, line(s) 23 v0/h.java, line(s) 24,26,35,37,46,48,57,59,68,70 va/c.java, line(s) 91 w6/b.java, line(s) 198,206,215,227,235,354,369,416,552,638,649,655,764,914,944,966,984,1007,1060,1099,1116,1127,1135,1154,1185,1191,1213,1360,1471,1486,750,823,893,1327 w6/c.java, line(s) 126,154,177,181,199,303,311,445,452,465,488,511,587,602,775,819,826,838,1154,1174,1204,582 w7/a.java, line(s) 43,48,35 x7/a.java, line(s) 55,66 xa/a.java, line(s) 189 xa/j.java, line(s) 147,162,182,191 y/c.java, line(s) 36,48,60,74 y7/j.java, line(s) 17,16 y7/k.java, line(s) 59,32,41 z/c.java, line(s) 19 za/b.java, line(s) 37 za/c.java, line(s) 73,34
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/970676142245/namespaces/firebase:fetch?key=AIzaSyBB27JdKQp5rIn_zjbCALphSddAQlA8YuI ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
アザス v1.5.2
Android APK
55
综合安全评分
中风险