应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
爱心e站 v1.0.0
41
安全评分
安全基线评分
41/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
6
高危
20
中危
2
信息
1
安全
隐私风险评估
5
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
6
中危安全漏洞
20
安全提示信息
2
已通过安全项
1
重点安全关注
0
高危安全漏洞 Activity (com.tencent.tauth.AuthActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.tencent.tauth.AuthActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(24) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.newheyd.JZKFcanjiren.wxapi.WXEntryActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(24)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.igexin.sdk.GActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(24)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/newheyd/JZKFcanjiren/Activity/ActivityPolicyContent.java, line(s) 162,7 com/newheyd/JZKFcanjiren/Activity/RehabilitationGuidActivity.java, line(s) 404,12
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.tencent.tauth.AuthActivity) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 Activity (com.newheyd.JZKFcanjiren.wxapi.WXEntryActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.newheyd.JZKFcanjiren.Utils.VesionUpdate.receivers.ApkInstallReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Service (com.igexin.sdk.PushService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.igexin.sdk.PushReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.igexin.sdk.PushActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.igexin.sdk.GActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity (com.igexin.sdk.GActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.newheyd.JZKFcanjiren.service.GeTuiPushService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/newheyd/JZKFcanjiren/Utils/DataCleanManager.java, line(s) 11,19 com/newheyd/JZKFcanjiren/Utils/FileDownloadUtil.java, line(s) 54 com/newheyd/JZKFcanjiren/Utils/FileSelect/FilePickerActivity.java, line(s) 37 com/newheyd/JZKFcanjiren/Utils/FileUtil.java, line(s) 21,26 com/newheyd/JZKFcanjiren/Utils/ImageUtil.java, line(s) 44,29,29,29 com/newheyd/JZKFcanjiren/Utils/WriteToSD.java, line(s) 12 com/newheyd/JZKFcanjiren/View/PhotoSelect/PhotoPickerActivity.java, line(s) 241 com/tencent/a/a/a/a/b.java, line(s) 17,29,31 com/tencent/mid/b/c.java, line(s) 25,44,45 com/tencent/mid/util/h.java, line(s) 176,177
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/newheyd/JZKFcanjiren/Utils/DataBaseUtils/DatabaseHelper.java, line(s) 4,5,17,18,23 com/newheyd/JZKFcanjiren/Utils/DataBaseUtils/DatabaseManager.java, line(s) 5,29,34,39 com/newheyd/JZKFcanjiren/Utils/DataBaseUtils/DictionaryDatabaseManager.java, line(s) 5,6,89,94,99 com/newheyd/JZKFcanjiren/gen/OrganizationBeanDao.java, line(s) 4,34,39 com/newheyd/JZKFcanjiren/gen/PushMessageBeanDao.java, line(s) 4,50,55 com/newheyd/JZKFcanjiren/gen/UserInfoDao.java, line(s) 4,48,53 org/greenrobot/greendao/AbstractDao.java, line(s) 6,7,102,107,131,361,488 org/greenrobot/greendao/DbUtils.java, line(s) 6,14,51 org/greenrobot/greendao/database/StandardDatabase.java, line(s) 5,15,16
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/newheyd/JZKFcanjiren/Activity/ActivityPolicyContent.java, line(s) 236,229,230,235 com/newheyd/JZKFcanjiren/Activity/RehabilitationGuidActivity.java, line(s) 88,81,82,87
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/newheyd/JZKFcanjiren/Activity/ActivityPolicyContent.java, line(s) 116 com/newheyd/JZKFcanjiren/Utils/JwtTokenUtil.java, line(s) 9 com/newheyd/JZKFcanjiren/qrcode/decoding/Intents.java, line(s) 45 io/jsonwebtoken/JwsHeader.java, line(s) 8
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/newheyd/JZKFcanjiren/View/PhotoSelect/PhotoPickerActivity.java, line(s) 246
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/iflytek/sunflower/c/c.java, line(s) 10 com/tencent/mid/util/Util.java, line(s) 138 com/tencent/mm/a/b.java, line(s) 10
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/tencent/mid/util/Util.java, line(s) 37 org/greenrobot/greendao/test/DbTest.java, line(s) 7
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/tencent/mid/util/Util.java, line(s) 255
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/newheyd/JZKFcanjiren/net/RequestServiceList.java, line(s) 102,59 com/tencent/mid/a/b.java, line(s) 90
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_CHANNEL" : "yingyongbao" 友盟统计的=> "UMENG_APPKEY" : "5b30a2a7a40fa3095a000029" 个推–推送服务的=> "PUSH_APPKEY" : "9LneMYzVNl7aKYhOMPRpJ3" 百度地图的=> "com.baidu.lbsapi.API_KEY" : "wLQmGtMfsSmmqCUUqLDZXKRDgplAnQ3d" 个推–推送服务的=> "PUSH_APPSECRET" : "SAcypEkJAW6jQRY31eJ2J8" 个推–推送服务的=> "PUSH_APPID" : "O6pD0c6lAW5vM6hhihn544" 4kU71lN96TJUomD1vOU9lgj9U+kKmxDPLVM+zzjst5U= 6X8Y4XdM2Vhvn0KfzcEatGnWaNU= d4624c36b6795d1d99dcf0547af5443d 03a976511e2cbe3a7f26808fb7af3c05
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/example/baidumap/BNaviGuideActivity.java, line(s) 31 com/example/baidumap/BNaviMainActivity.java, line(s) 128,133,139,143,149,154,160,164,173,178,186,196,201,209 com/example/baidumap/WNaviGuideActivity.java, line(s) 40,46,54,50 com/example/baidumap/mapUtils/TransitRouteOverlay.java, line(s) 101 com/iflytek/sunflower/c/g.java, line(s) 12,18,56,62,74,28,34,68,44,50 com/newheyd/JZKFcanjiren/BaseActivity.java, line(s) 154,159,161,165,252 com/newheyd/JZKFcanjiren/BaseFragment.java, line(s) 186,187,191,196,198,202,315 com/newheyd/JZKFcanjiren/BaseFragmentActiviy.java, line(s) 204,205,209,214,216,220 com/newheyd/JZKFcanjiren/Utils/DataBaseUtils/DictionaryDatabaseManager.java, line(s) 52,60,71,82 com/newheyd/JZKFcanjiren/Utils/FileDownloadUtil.java, line(s) 63 com/newheyd/JZKFcanjiren/Utils/FileUtil.java, line(s) 22,55,61,63 com/newheyd/JZKFcanjiren/Utils/ImageUtil.java, line(s) 135,159,386,394,395,404,405,408,418,419 com/newheyd/JZKFcanjiren/Utils/NewLogUtil.java, line(s) 42,49,22 com/newheyd/JZKFcanjiren/Utils/VesionUpdate/ApkUpdateUtils.java, line(s) 41,51,85,86 com/newheyd/JZKFcanjiren/Utils/VesionUpdate/receivers/ApkInstallReceiver.java, line(s) 38,75 com/newheyd/JZKFcanjiren/Utils/WriteToSD.java, line(s) 44 com/newheyd/JZKFcanjiren/View/PhotoSelect/CommonMethod.java, line(s) 38,112,117,119,123,296,303,476 com/newheyd/JZKFcanjiren/View/PhotoSelect/widget/TouchImageView.java, line(s) 890 com/newheyd/JZKFcanjiren/View/calendar/CalendarPickerView.java, line(s) 222,778 com/newheyd/JZKFcanjiren/View/calendar/MonthView.java, line(s) 84 com/newheyd/JZKFcanjiren/gen/DaoMaster.java, line(s) 62,78 com/newheyd/JZKFcanjiren/qrcode/camera/AutoFocusCallback.java, line(s) 30 com/newheyd/JZKFcanjiren/qrcode/camera/CameraConfigurationManager.java, line(s) 33,37,46,51,82,106,123,171,182 com/newheyd/JZKFcanjiren/qrcode/camera/CameraManager.java, line(s) 143 com/newheyd/JZKFcanjiren/qrcode/camera/FlashlightManager.java, line(s) 15,17,58,69,78,81,84 com/newheyd/JZKFcanjiren/qrcode/camera/PreviewCallback.java, line(s) 38 com/newheyd/JZKFcanjiren/qrcode/decoding/CaptureActivityHandler.java, line(s) 53,60,67,71 com/newheyd/JZKFcanjiren/qrcode/decoding/DecodeHandler.java, line(s) 61 com/newheyd/JZKFcanjiren/service/GeTuiIntentSeivice.java, line(s) 34,47,48,82,87,92,97,74 com/newheyd/JZKFcanjiren/service/GeTuiPushService.java, line(s) 14,21,28,34 com/newheyd/JZKFcanjiren/voice/Utils/AuthorityUtils.java, line(s) 9 com/tencent/a/a/a/a/b.java, line(s) 28,36 com/tencent/a/a/a/a/c.java, line(s) 33,47 com/tencent/a/a/a/a/d.java, line(s) 22,31 com/tencent/a/a/a/a/e.java, line(s) 21,30 com/tencent/a/a/a/a/h.java, line(s) 14,40,50,57,43 com/tencent/mid/a/h.java, line(s) 33,58 com/tencent/mid/util/Util.java, line(s) 492,500,561,96,110,169,184,475,580,587,120,502 com/tencent/mid/util/d.java, line(s) 113,73,94,47,60 lecho/lib/hellocharts/formatter/ValueFormatterHelper.java, line(s) 71 org/greenrobot/eventbus/BackgroundPoster.java, line(s) 42 org/greenrobot/eventbus/EventBus.java, line(s) 295,430,432,441,176 org/greenrobot/eventbus/util/AsyncExecutor.java, line(s) 98 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 182 org/greenrobot/eventbus/util/ExceptionToResourceMapping.java, line(s) 27 org/greenrobot/greendao/AbstractDao.java, line(s) 276,610,620,631 org/greenrobot/greendao/DaoException.java, line(s) 28,29 org/greenrobot/greendao/DaoLog.java, line(s) 35,39,67,15,43,47,27,31,51,55,59,63 org/greenrobot/greendao/DbUtils.java, line(s) 91,31 org/greenrobot/greendao/async/AsyncOperationExecutor.java, line(s) 171,185,132 org/greenrobot/greendao/internal/LongHashMap.java, line(s) 132 org/greenrobot/greendao/query/QueryBuilder.java, line(s) 242,245 org/greenrobot/greendao/test/AbstractDaoTest.java, line(s) 55,57,48 org/greenrobot/greendao/test/AbstractDaoTestLongPk.java, line(s) 32,35 org/greenrobot/greendao/test/DbTest.java, line(s) 83
安全提示信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密
此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 Files: org/greenrobot/greendao/database/DatabaseOpenHelper$EncryptedHelper.java, line(s) 14,4,5
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/newheyd/JZKFcanjiren/Utils/HttpUtils/HttpUtil.java, line(s) 255,254,255,251,253,253
综合安全基线评分总结
爱心e站 v1.0.0
Android APK
41
综合安全评分
中风险