应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
星辰VPN v1.2.3
55
安全评分
安全基线评分
55/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
13
中危
3
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
13
安全提示信息
3
已通过安全项
2
重点安全关注
0
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: d2/a.java, line(s) 53
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Service (com.moetor.app.TileService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_QUICK_SETTINGS_TILE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.moetor.app.RestartReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Content Provider (com.github.kr328.clash.service.FilesProvider) 受权限保护,但应检查权限保护级别。
Permission: android.permission.MANAGE_DOCUMENTS [android:exported=true] 检测到 Content Provider 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: b2/b.java, line(s) 13 im/crisp/client/internal/v/f.java, line(s) 24 y1/q.java, line(s) 4 z0/i0.java, line(s) 9
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: coil/decode/SvgDecoder.java, line(s) 36 coil/memory/MemoryCacheService.java, line(s) 40 com/moetor/app/ENV.java, line(s) 103,106,108,110,112,114,116,118
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/moetor/app/ExtKt.java, line(s) 609,691 com/moetor/ui/MainActivity.java, line(s) 212 com/moetor/ui/WelcomeActivity.java, line(s) 208 com/moetor/ui/home/NoticeActivity.java, line(s) 181 com/moetor/ui/home/NoticeDetailActivity.java, line(s) 180 com/moetor/ui/login/ForgetActivity.java, line(s) 316 com/moetor/ui/mine/InviteActivity.java, line(s) 482 com/moetor/ui/mine/OrderListActivity.java, line(s) 173 com/moetor/ui/mine/ReleaseRecordActivity.java, line(s) 171 com/moetor/ui/mine/TicketActivity.java, line(s) 235 com/moetor/ui/mine/TicketAddActivity.java, line(s) 223 com/moetor/ui/mine/TicketMsgActivity.java, line(s) 258 com/moetor/ui/mine/TrafficLogActivity.java, line(s) 154 com/moetor/ui/mine/WalletActivity.java, line(s) 157 com/moetor/ui/node/NodeActivity.java, line(s) 165 com/moetor/ui/shop/OrderDetailActivity.java, line(s) 221 com/moetor/ui/shop/PlanConfigActivity.java, line(s) 513 com/moetor/utils/CertUtils.java, line(s) 97
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/github/kr328/clash/service/TunService.java, line(s) 40,42,133,41,44,86,115,131,133 m3/a.java, line(s) 30
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: e3/d.java, line(s) 5,111,247,272 e3/e.java, line(s) 5,6,15,16,34,35,38,39
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: c3/d.java, line(s) 109,109,109 update/DownloadAppUtils.java, line(s) 272,248,264,265
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: coil/decode/SourceImageSource.java, line(s) 60
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: m3/e.java, line(s) 209
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 08c06d320345bb682d17f10faa6f9e6f 344f4abf0a10cb27a43e94dd31b449c9
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a3/a.java, line(s) 210 c0/h.java, line(s) 165,169,173,179,189,240,259,267,280,284,286,289,293,298 c0/i.java, line(s) 53,56 com/github/kr328/clash/common/compat/AppKt.java, line(s) 40,42 com/github/kr328/clash/common/log/Log.java, line(s) 51,56,67,72,62,77 com/github/kr328/clash/core/bridge/Bridge.java, line(s) 36 com/github/kr328/clash/service/ClashService.java, line(s) 57 com/github/kr328/clash/service/TunService.java, line(s) 168 com/github/kr328/clash/service/clash/ClashRuntimeKt$clashRuntime$1$launch$1$1$1.java, line(s) 42 com/github/kr328/clash/service/clash/module/AppListCacheModule.java, line(s) 53 com/github/kr328/clash/service/clash/module/Module$execute$2.java, line(s) 53 com/moetor/app/MyApp.java, line(s) 88 com/moetor/remote/Service.java, line(s) 54 g0/a.java, line(s) 144,156,161,166 g0/c.java, line(s) 24 g0/h.java, line(s) 45 i0/e.java, line(s) 38,80,95 i0/j.java, line(s) 72 i0/k.java, line(s) 238 me/jessyan/autosize/AutoSize.java, line(s) 115 me/jessyan/autosize/AutoSizeConfig.java, line(s) 330,343,356,244 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28 p0/a.java, line(s) 41 q/c.java, line(s) 219,235,240,242,248,251,259,266 q/f.java, line(s) 132 q/g.java, line(s) 101 r/a.java, line(s) 270 s/d.java, line(s) 178,206 s/e.java, line(s) 101,121,133 u/b.java, line(s) 55 u/j.java, line(s) 97,137,141,143,149 u/l.java, line(s) 56 v/b.java, line(s) 102 w/i.java, line(s) 141,176 w/j.java, line(s) 76,84,108,113,132,136,152,162,173,175 x/e.java, line(s) 51,83,93,103 x/j.java, line(s) 76 y/a.java, line(s) 82 z/c.java, line(s) 16 z/d.java, line(s) 48 z/f.java, line(s) 106 z/t.java, line(s) 94 z/u.java, line(s) 40
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/github/kr328/clash/design/LogcatDesign.java, line(s) 4,87 com/moetor/app/ExtKt.java, line(s) 5,137,139
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: com/github/kr328/clash/design/store/UiStore.java, line(s) 69,69 com/github/kr328/clash/service/PreferenceProvider.java, line(s) 39,39 com/moetor/store/AppStore.java, line(s) 32,32
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/moetor/net/NetModule.java, line(s) 53,60,53,60 im/crisp/client/internal/k/a.java, line(s) 99,99 im/crisp/client/internal/l/a.java, line(s) 108,108
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
星辰VPN v1.2.3
Android APK
55
综合安全评分
中风险