导航菜单
登录 注册

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

高考查分 v1.0

Android APK 43df8fff...
45
安全评分

安全基线评分

45/100

中风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

4 高危
7 中危
1 信息
2 安全

隐私风险评估

0
第三方跟踪器

隐私安全
未检测到第三方跟踪器


检测结果分布

高危安全漏洞 4
中危安全漏洞 7
安全提示信息 1
已通过安全项 2
重点安全关注 0

高危安全漏洞 检测到调试证书签名 

检测到应用使用调试证书签名。请勿在生产环境中使用调试证书。

高危安全漏洞 应用可被调试 

[android:debuggable=true]
应用开启了可调试标志,攻击者可轻易附加调试器进行逆向分析,导出堆栈信息或访问调试相关类,极大提升被攻击风险。

高危安全漏洞 Activity (com.query.score.launchActivity) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 启用了调试配置。生产版本不能是可调试的 

启用了调试配置。生产版本不能是可调试的
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/query/score/BuildConfig.java, line(s) 3,6

中危安全漏洞 应用已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。

中危安全漏洞 应用数据允许备份 

[android:allowBackup=true]
该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
org/antlr/v4/gui/TreeViewer.java, line(s) 67,68,69,70,71,72
org/stringtemplate/v4/STGroup.java, line(s) 44,45

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/query/score/MainActivity.java, line(s) 74
com/query/score/utils/CommonUtil.java, line(s) 87
com/query/score/utils/PicUtil.java, line(s) 26,28,30

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/query/score/utils/CommonUtil.java, line(s) 45

中危安全漏洞 IP地址泄露 

IP地址泄露


Files:
com/query/score/MainActivity.java, line(s) 151

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"api_all" : "all"
"api_android" : "Android"
"api_app" : "App"
"api_ios" : "iOS"
"url_api" : "http://gank.io"
AADB8D7E-AEEF-4415-AD2B-8204D6CF042E
1DA0C57D-6C06-438A-9B27-10BCB3CE0F61
33761B2D-78BB-4A43-8B0B-4F5BEE8AACF3

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/ortiz/touch/TouchImageView.java, line(s) 537
com/query/score/MainActivity.java, line(s) 170
com/query/score/db/data/ImageDatasource.java, line(s) 32
com/query/score/db/data/SearchDatasource.java, line(s) 23,39
com/query/score/db/data/StuffDatasource.java, line(s) 22,38
com/query/score/ui/fragment/ViewerFragment.java, line(s) 73
com/query/score/utils/PicUtil.java, line(s) 57
org/antlr/runtime/BaseRecognizer.java, line(s) 198,385,388,407,409,411,415,417,419,421,424
org/antlr/runtime/SerializedGrammar.java, line(s) 98,116,118,137
org/antlr/runtime/TokenRewriteStream.java, line(s) 347
org/antlr/runtime/debug/DebugParser.java, line(s) 42
org/antlr/runtime/debug/DebugTreeParser.java, line(s) 44
org/antlr/runtime/debug/Profiler.java, line(s) 357,358,147,161,179,211,219,234,254,260,269,283,291,298,305,326
org/antlr/runtime/debug/RemoteDebugEventSocketListener.java, line(s) 224,245,265,279,286,299,415,420,425,518,524
org/antlr/runtime/debug/TraceDebugEventListener.java, line(s) 14,18,23,28,33,41,49,54,62,70,75,80,85
org/antlr/runtime/debug/Tracer.java, line(s) 16,18,25,27
org/antlr/runtime/tree/BufferedTreeNodeStream.java, line(s) 323,331,333,336,338
org/antlr/runtime/tree/TreeRewriter.java, line(s) 98
org/antlr/v4/Tool.java, line(s) 121,137,315,350
org/antlr/v4/gui/GraphicsSupport.java, line(s) 67,30
org/antlr/v4/gui/TestRig.java, line(s) 49,50,51,80,89,122,163,207,177,197
org/antlr/v4/parse/ANTLRLexer.java, line(s) 1273,1289,1305,1321,1337,1353
org/antlr/v4/parse/ActionSplitter.java, line(s) 528,544,560,576,592,608,624
org/antlr/v4/parse/GrammarTreeVisitor.java, line(s) 805,1241,1246
org/antlr/v4/parse/LeftRecursiveRuleWalker.java, line(s) 1187,1203,1219
org/antlr/v4/runtime/ConsoleErrorListener.java, line(s) 8
org/antlr/v4/runtime/DefaultErrorStrategy.java, line(s) 60
org/antlr/v4/runtime/Parser.java, line(s) 45,50,59,540,542,543
org/antlr/v4/runtime/RuntimeMetaData.java, line(s) 17,20
org/antlr/v4/runtime/atn/ParserATNSimulator.java, line(s) 699,719
org/antlr/v4/runtime/misc/FlexibleHashMap.java, line(s) 283,284
org/antlr/v4/runtime/misc/LogManager.java, line(s) 72
org/antlr/v4/runtime/misc/TestRig.java, line(s) 9,14,17,18
org/antlr/v4/tool/DefaultToolListener.java, line(s) 28,38,18
org/antlr/v4/tool/ErrorManager.java, line(s) 109,217,221,225,232
org/mozilla/universalchardet/UniversalDetector.java, line(s) 250,256
org/stringtemplate/v4/Interpreter.java, line(s) 94,920
org/stringtemplate/v4/STGroup.java, line(s) 108,126,165,171,184,189,219,224,230,273,384,461
org/stringtemplate/v4/STGroupDir.java, line(s) 32,48,80,129,139
org/stringtemplate/v4/STGroupFile.java, line(s) 33,45,109,113
org/stringtemplate/v4/compiler/CompiledST.java, line(s) 155,156,157,158,159,160
org/stringtemplate/v4/gui/STViz.java, line(s) 446,404
org/stringtemplate/v4/misc/ErrorManager.java, line(s) 15,21,27,32,40

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/query/score/net/GankApiService.java, line(s) 16,16

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

应用图标

高考查分 v1.0

Android APK
45
综合安全评分
中风险