导航菜单
登录 注册

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

RIGHTHAND v2.2.2

Android APK 28eda371...
42
安全评分

安全基线评分

42/100

中风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

4 高危
12 中危
3 信息
1 安全

隐私风险评估

2
第三方跟踪器

中等隐私风险
检测到少量第三方跟踪器


检测结果分布

高危安全漏洞 4
中危安全漏洞 12
安全提示信息 3
已通过安全项 1
重点安全关注 0

高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危安全漏洞 App 链接 assetlinks.json 文件未找到 

[android:name=com.righthandbaseball.righthand.ui.activity.SplashActivity][android:host=https://righthanddevelop.page.link]
App Link 资产验证 URL(https://righthanddevelop.page.link/.well-known/assetlinks.json)未找到或配置不正确。(状态码:200)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。

高危安全漏洞 App 链接 assetlinks.json 文件未找到 

[android:name=com.righthandbaseball.righthand.ui.activity.SplashActivity][android:host=https://righthand.page.link]
App Link 资产验证 URL(https://righthand.page.link/.well-known/assetlinks.json)未找到或配置不正确。(状态码:200)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。

高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/righthandbaseball/righthand/widget/BrowserView.java, line(s) 211,202

中危安全漏洞 应用已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/hjq/base/BaseActivity.java, line(s) 26
com/hjq/permissions/PermissionFragment.java, line(s) 13
com/otaliastudios/cameraview/filters/DocumentaryFilter.java, line(s) 6
com/otaliastudios/cameraview/filters/GrainFilter.java, line(s) 7
com/otaliastudios/cameraview/filters/LomoishFilter.java, line(s) 6
com/otaliastudios/cameraview/video/encoding/AudioNoise.java, line(s) 6

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/danikula/videocache/StorageUtils.java, line(s) 18,35
com/hbzhou/open/flowcamera/CameraInterface.java, line(s) 510
com/hbzhou/open/flowcamera/util/FileUtil.java, line(s) 13,52
com/righthandbaseball/righthand/manager/CacheDataManager.java, line(s) 22,33
com/righthandbaseball/righthand/ui/activity/CameraActivity.java, line(s) 192,194
com/righthandbaseball/righthand/ui/activity/ImageCropActivity.java, line(s) 265
com/righthandbaseball/righthand/ui/activity/PdfActivity.java, line(s) 154
com/righthandbaseball/righthand/ui/activity/VideoPublishingActivity.java, line(s) 1145
com/righthandbaseball/righthand/utils/UriUtils.java, line(s) 27,96
com/yalantis/ucrop/util/FileUtils.java, line(s) 153
top/zibin/luban/LubanUtils.java, line(s) 27,29

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/righthandbaseball/righthand/ui/activity/PdfActivity.java, line(s) 112,118
com/righthandbaseball/righthand/widget/BrowserView.java, line(s) 123,125

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/hjq/permissions/StartActivityManager.java, line(s) 9
com/jeremyliao/liveeventbus/ipc/consts/IpcConst.java, line(s) 5
com/righthandbaseball/righthand/http/api/UpdateUserInfoApi.java, line(s) 281
com/righthandbaseball/righthand/http/bean/MineBean.java, line(s) 759
com/righthandbaseball/righthand/http/bean/ScoutsReportBean.java, line(s) 289
com/righthandbaseball/righthand/ui/activity/RegisterBaseInfoActivity.java, line(s) 51
com/righthandbaseball/righthand/ui/activity/RegisterBaseInfoTwoActivity.java, line(s) 50
com/righthandbaseball/righthand/ui/activity/ScoutRegisterBaseInfoActivity.java, line(s) 52

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/danikula/videocache/ProxyCacheUtils.java, line(s) 67
com/hjq/http/model/FileWrapper.java, line(s) 47

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,28

中危安全漏洞 IP地址泄露 

IP地址泄露


Files:
com/danikula/videocache/HttpProxyCacheServer.java, line(s) 31

中危安全漏洞 Firebase远程配置已启用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/149704107565/namespaces/firebase:fetch?key=AIzaSyDzlADNj0CdGU0qTyUvjlds6ja6G2dvk2s ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示:

{
    "entries": {
        "android_minimum_version": "49",
        "ios_minimum_version": "202212220000"
    },
    "state": "UPDATE",
    "templateVersion": "8"
}

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"com.google.firebase.crashlytics.mapping_file_id" : "00000000000000000000000000000000"
"google_api_key" : "AIzaSyDzlADNj0CdGU0qTyUvjlds6ja6G2dvk2s"
"google_app_id" : "1:149704107565:android:06c1f8b5be7b08ff167aa4"
"google_crash_reporting_api_key" : "AIzaSyDzlADNj0CdGU0qTyUvjlds6ja6G2dvk2s"

安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密 

应用程序可以写入应用程序目录。敏感信息应加密


Files:
com/righthandbaseball/righthand/other/CrashHandler.java, line(s) 58,58

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/danikula/videocache/HttpProxyCacheDebuger.java, line(s) 50,57,63,28,39
com/hbzhou/open/flowcamera/CameraInterface.java, line(s) 284,620,347,362,383,390,403,477,521,528,534,624
com/hbzhou/open/flowcamera/FlowCameraView2$initView$4$takePictures$1$1.java, line(s) 47,29
com/hbzhou/open/flowcamera/FlowCameraView2.java, line(s) 178,594,596,625,645
com/hbzhou/open/flowcamera/JCameraView.java, line(s) 293
com/hbzhou/open/flowcamera/util/CameraParamUtil.java, line(s) 40,61,93,97,104,108
com/hbzhou/open/flowcamera/util/CheckPermission.java, line(s) 21,27
com/hbzhou/open/flowcamera/util/LogUtil.java, line(s) 18
com/hjq/bar/TitleBar.java, line(s) 625,631
com/hjq/http/config/LogStrategy.java, line(s) 44,15
com/jeremyliao/liveeventbus/logger/DefaultLogger.java, line(s) 22,41,12,31,20,39,24,43,16,35
com/otaliastudios/cameraview/CameraLogger.java, line(s) 35,28,24,30
com/otaliastudios/opengl/core/EglContextFactory.java, line(s) 66
com/otaliastudios/opengl/core/EglNativeConfigChooser.java, line(s) 35
com/otaliastudios/opengl/core/EglNativeCore.java, line(s) 124,135
com/otaliastudios/opengl/core/Egloo.java, line(s) 45,57,69,76
com/otaliastudios/opengl/internal/MiscKt.java, line(s) 32,20,14,26
com/righthandbaseball/righthand/widget/NiceImageView.java, line(s) 122,126
com/yalantis/ucrop/UCropActivity.java, line(s) 177
com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 197,132
com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 130,152,91,94,136,143
com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 192,53,135,137,171
com/yalantis/ucrop/util/EglUtils.java, line(s) 23
com/yalantis/ucrop/util/FileUtils.java, line(s) 161
com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 57,64,75,83,115,125,137,151,165,171,175,180,186,190,281,287,300,307,314,327,340,347,354,56,63,74,82,114,124,136,150,164,170,174,179,185,189
com/yalantis/ucrop/view/TransformImageView.java, line(s) 265,282,158,83
timber/log/Timber.java, line(s) 521,539
top/zibin/luban/Luban.java, line(s) 87,86
top/zibin/luban/LubanUtils.java, line(s) 63
top/zibin/luban/io/LruArrayPool.java, line(s) 86,124,87,125

安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/righthandbaseball/righthand/ui/fragment/HomeFragment$onChildClick$dialog$1.java, line(s) 4,256,257
com/righthandbaseball/righthand/ui/fragment/ListFragment$onChildClick$dialog$1.java, line(s) 4,227,228

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/danikula/videocache/HttpUrlSource.java, line(s) 144,141,146
com/hjq/http/ssl/HttpSslFactory.java, line(s) 102,54,67,101,89,100,100

综合安全基线评分总结

应用图标

RIGHTHAND v2.2.2

Android APK
42
综合安全评分
中风险