应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
品质商城 v1.0
52
安全评分
安全基线评分
52/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
12
中危
1
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
12
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: M0/a.java, line(s) 36,47 w0/d.java, line(s) 154,302 w0/f.java, line(s) 32,172
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: M0/a.java, line(s) 36,47
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Service (com.tencent.myapplication.service.PayAccessibilityService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (com.alipay.sdk.app.PayResultActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.alipay.sdk.app.AlipayResultActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: E/RunnableC0145K.java, line(s) 17 E1/a.java, line(s) 3 M0/AbstractC0318b.java, line(s) 43 a0/d.java, line(s) 12 c0/c.java, line(s) 9 d1/a.java, line(s) 3 d1/b.java, line(s) 3 d1/c.java, line(s) 3 k0/AbstractC0309b.java, line(s) 19 l0/a.java, line(s) 6 x1/e.java, line(s) 8
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: H0/e.java, line(s) 57 c0/c.java, line(s) 181 i/C0237A.java, line(s) 289 w0/d.java, line(s) 153,301,269 w0/e.java, line(s) 172
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: r1/a.java, line(s) 57,51
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: w0/AbstractC0416a.java, line(s) 63 w0/AbstractC0417b.java, line(s) 77,81
中危安全漏洞 IP地址泄露
IP地址泄露 Files: M0/AbstractC0318b.java, line(s) 62,62 v1/B0.java, line(s) 11,11,11,11,11,11,11 v1/C0404w.java, line(s) 17
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 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 L3N5cy9jbGFzcy9uZXQvd2xhbjAvYWRkcmVzcw== Y29tLnRlbmNlbnQuYW5kcm9pZC5xcWRvd25sb2FkZXI= b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649 QrMgt8GGYI6T52ZY5AnhtxkLzb8egpFn3j5JELI8H6wtACbUnZ5cc3aYTsTRbmkAkRJeYbtx92LPBWm7nBO9UIl7y5i5MQNmUZNf5QENurR5tGyo7yJ2G0MBjWvy6iAtlAbacKP0SwOUeUWx5dsBdyhxa7Id1APtybSdDgicBDuNjI0mlZFUzZSS9dmN8lBD0WTVOMz0pRZbR3cysomRXOO1ghqjJdTcyDIxzpNAEszN8RMGjrzyU7Hjbmwi6YNK
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: E/AbstractActivityC0159l.java, line(s) 402 E/N.java, line(s) 415 E/RunnableC0145K.java, line(s) 105,143,172 G/C0005c.java, line(s) 80 G/C0024p.java, line(s) 31,44,92,151,192 G/C0189k.java, line(s) 92,141,153,163 G/C0190l.java, line(s) 161 G/I.java, line(s) 78 G/U.java, line(s) 214,243 G/p0.java, line(s) 31 G/v0.java, line(s) 79,96,70 H/i.java, line(s) 24 J/c.java, line(s) 38 K/u.java, line(s) 19 Z/g.java, line(s) 36,41 Z/i.java, line(s) 54 Z/j.java, line(s) 55,133 com/tencent/myapplication/MainActivity.java, line(s) 248,358 com/tencent/myapplication/service/PayAccessibilityService.java, line(s) 39,52,79,114,117,161,165,64 d0/o.java, line(s) 268 f0/b.java, line(s) 83,89 f0/c.java, line(s) 24 i/AbstractC0265l0.java, line(s) 20 i/C0273p0.java, line(s) 95,104,197 i/N0.java, line(s) 258 i/Q.java, line(s) 42,97,102,127 i/RunnableC0260j.java, line(s) 93 i/m1.java, line(s) 91,114,213,227 i/n1.java, line(s) 36 i0/a.java, line(s) 17,27,32,40 i1/a.java, line(s) 20 k1/e.java, line(s) 336 k1/g.java, line(s) 132 n/C0322d.java, line(s) 214 n/e.java, line(s) 178 r1/c.java, line(s) 54,65 r1/h.java, line(s) 31,35 s/AbstractC0350b.java, line(s) 67,76 s/j.java, line(s) 367,427,430 s/n.java, line(s) 560,1210,1538,1544,1545,1546,1551,1589,1595,1596,1597,1602,328,652,1332,1346,1485 u0/b.java, line(s) 35 u1/a.java, line(s) 59 u1/b.java, line(s) 153,281,392,401,409,423,287 u1/c.java, line(s) 36,63 v0/AbstractC0368a.java, line(s) 25 v1/F.java, line(s) 76,72 w/C0058z.java, line(s) 149,122 w/C0410c.java, line(s) 54 w/P.java, line(s) 548 w/a0.java, line(s) 47 w/f0.java, line(s) 173 w0/AbstractC0417b.java, line(s) 241,265 w0/d.java, line(s) 555 w0/f.java, line(s) 335,354
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: a0/d.java, line(s) 150,150,150,150,150,150
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
品质商城 v1.0
Android APK
52
综合安全评分
中风险