应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
自健身 v3.3.4
53
安全评分
安全基线评分
53/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
25
中危
2
信息
2
安全
隐私风险评估
3
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
25
安全提示信息
2
已通过安全项
2
重点安全关注
0
高危安全漏洞 Activity (cn.jiguang.share.android.ui.JiguangShellActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (cn.jpush.android.ui.PopWinActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.jpush.android.ui.PushActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.coach.mu.gymtrain.wxapi.WXEntryActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.coach.mu.gymtrain.wxapi.WXPayEntryActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (cn.jpush.android.service.DaemonService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.jpush.android.service.DActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Content Provider (cn.jpush.android.service.DownloadProvider) 未受保护。
[android:exported=true] 检测到 Content Provider 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.jpush.android.service.JNotifyActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.android.service.JTransitActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (cn.jiguang.share.android.ui.JiguangShellActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 高优先级 Intent(1000) - {1} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/baidu/vi/VDeviceAPI.java, line(s) 172,177,185 com/danikula/videocache/StorageUtils.java, line(s) 20,37 com/github/mikephil/charting/charts/Chart.java, line(s) 728,743 com/github/mikephil/charting/utils/FileUtils.java, line(s) 23,118 com/mu/gymtrain/Activity/WelcomeActivity.java, line(s) 44 com/mu/gymtrain/Utils/CommonUtils.java, line(s) 113,117 com/mu/gymtrain/Utils/DownloadUtils.java, line(s) 30,48 com/mu/gymtrain/Utils/ViewBitmapUtils.java, line(s) 30,41 com/pgyersdk/d/a.java, line(s) 89,90,194 com/pgyersdk/f/c.java, line(s) 126,122,129 com/yalantis/ucrop/util/FileUtils.java, line(s) 51
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/hjq/http/model/ContentType.java, line(s) 8 com/mu/gymtrain/Utils/ShareUtils.java, line(s) 31 com/mu/gymtrain/signature/GenerateTestUserSig.java, line(s) 14 rx/internal/schedulers/NewThreadWorker.java, line(s) 27,36
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/danikula/videocache/HttpProxyCacheServer.java, line(s) 29 com/mu/gymtrain/Activity/OnlineCoachActivity.java, line(s) 42 com/mu/gymtrain/Fragment/ArticleFragment.java, line(s) 91 com/mu/gymtrain/Http/api/AiWelcomeAPI.java, line(s) 18 com/mu/gymtrain/Http/api/AiWelcomeByVideoAPI.java, line(s) 17 com/mu/gymtrain/Http/api/SendMsgAPI.java, line(s) 19 com/mu/gymtrain/Http/api/SendVideoMsgAPI.java, line(s) 23 com/mu/gymtrain/Http/easy/api/BaseApi_Port8888.java, line(s) 10 com/mu/gymtrain/viewmodel/OnlineViewModel.java, line(s) 22
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/pgyersdk/c/a.java, line(s) 98
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/danikula/videocache/ProxyCacheUtils.java, line(s) 70 com/hjq/http/EasyUtils.java, line(s) 331
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/mu/gymtrain/Activity/ArticleDetailActivity.java, line(s) 295,277 com/mu/gymtrain/Activity/WebViewActivity.java, line(s) 105,104
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,28
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/pgyersdk/b/e.java, line(s) 22 com/pgyersdk/feedback/a/m.java, line(s) 80 com/pgyersdk/update/b.java, line(s) 121
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/mu/gymtrain/Activity/WebViewActivity.java, line(s) 109,104
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/pgyersdk/f/i.java, line(s) 6
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 极光推送的=> "JPUSH_APPKEY" : "e004f2eebd488a73bc013022" 极光推送的=> "JPUSH_CHANNEL" : "developer-default" "app_wx_key" : "wx0f041dee24e86737" "Umeng_key" : "585b51c2ae1bf87e7d0019b1" "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" "app_wx_secret" : "9a944bf42c3c9306a9bfbd1c467db152" mGUKhyCYw/1FnPEZQ8FGeDB7QaATHkNbkLAeBpLvF9wgj9s6oNsH009dx4vTHELt MRENxMTbGBgaiCAGIiIGipFgIhgIHmAx8f97sE962t6ZRpwJHjXVVfXqg53eKV66 KWW8fk8BbD0IWIJAB45UN8WU/vc8a1G1bENVGJm5dCbimQqMa5kIyHIMKnBkslJo 3aJFDbBrHy3229k2zCEgX+gdLaeg2gIaYvkxEowlqA4qMZSSuPhP+TA+p8ggYfzg 433de5ec495dec624c30472f139d3482ae885318e7f30980019a9439ae8c7c0b 6pvzapYwMmuaPlp3GAhAC7WmXhHBrPgKvGMor8cMtWJfzhoknPcNJP1vsAEJtYQS 2FDgvkGVlKtvyo6NX8HbSycCiDHWR2gaqJRI3JrAqT9lGxZAxTnmUE8MNnhRWfoNZJHX2 2FsPONw4QOqEQkzYvoiuVATWxbyQmsCJ WL3iUbjMezB9f1hL3Vh/gLiCJ9nAZHpnjHbNMOBZNjBoy+LlnmHAllkOAQa91bCo fC3c0zTQKMvO+8AY7JP6hqGaBBpjyWUNTAi1LaimgCYwv86EMZTibhXQAg0HSFe1 GjAOCOpEZE0DxlVqJKiORQPGvbE6EVnTgGsv46xBogEzEhaCRAPG6w+rSjXtaMD6 vv9TVn7j3F1aoNKETK9fmMLQERG5O4WUUsxDrXLLBr5kAx+ygTfZwKts4Hk28Dgb RAkWEcRCBLEQi1RWaaxSWvl2PoWNYBEIBILKKv4gmu8WC7PLnXVm17X42Jk7955z 39280363481451541647 -39280363481451541647 305092bc73c180b55c26012a94809131 56aAMXWxLr+BzP2uGeC9gD4rYZtQeCWQJwdQnQGpFcYWc3OETa0w1mvvDJsWGMou b37d93b6a7651920a3820a80bf57900c 9a944bf42c3c9306a9bfbd1c467db152 bUn1+2ya+j0K53Ke9VJv2dtmjqsUYhibnlEb8WAUZ8gfkHtzY+mGydMgiutIDVVm AZsSGGvWexrr+k0J7JmgSlB9TpW0sPWoY0vVaYCRpDz22alApQG+BKiLYKQAxn/j 2GHAVOyrAToMWK2yyAYGvW6MDpVhwCONfUN0ODBoBotTI3RIMGiK2LEBOiwYNJmu qi+uTdJ/i8JFuc97sZnzJQxfe6ZHxEHkWlWcou+uN5cL4b4d7UiZr1DQlXSj4gnS pNFRZ9Sig0GDngUUHXq9PP4B62fQcqx0J7wAAAAASUVORK5CYII= 2FnsLvYQe4m9xbphGMIN43qWjXR2EAMcoH5ZOCwC7FW20tF1AnAM3yQwQOeoOYbF
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/alipay/test/a.java, line(s) 12,13,19,20,26,27,33,34,40,41,47,48,54,55,61,62,68,69,75,76,82,83,89,90,96,97,100,101,104,105,108,109,112,113,116,117,120,121,124,125,128,129,132,133,136,137,140,141 com/clj/fastble/BleManager.java, line(s) 183,195,207,306,352,356,174,212,311 com/clj/fastble/bluetooth/BleBluetooth.java, line(s) 466,50,81,376,438,441 com/clj/fastble/bluetooth/SplitWriter.java, line(s) 112 com/clj/fastble/scan/BleScanPresenter.java, line(s) 140,160 com/clj/fastble/scan/BleScanner.java, line(s) 101 com/clj/fastble/utils/BleLog.java, line(s) 13,34,20,27 com/contrarywind/view/WheelView.java, line(s) 330 com/danikula/videocache/HttpProxyCacheDebuger.java, line(s) 50,57,63,28,39 com/github/mikephil/charting/charts/BarChart.java, line(s) 69 com/github/mikephil/charting/charts/BarLineChartBase.java, line(s) 271,282,297,303,462,466 com/github/mikephil/charting/charts/Chart.java, line(s) 376,191,209,352,853,857,861 com/github/mikephil/charting/charts/CombinedChart.java, line(s) 80 com/github/mikephil/charting/charts/HorizontalBarChart.java, line(s) 150,91,95 com/github/mikephil/charting/components/AxisBase.java, line(s) 157 com/github/mikephil/charting/data/ChartData.java, line(s) 263 com/github/mikephil/charting/data/CombinedData.java, line(s) 205,212,219 com/github/mikephil/charting/data/LineDataSet.java, line(s) 106,119 com/github/mikephil/charting/data/PieEntry.java, line(s) 61,67 com/github/mikephil/charting/listener/BarLineChartTouchListener.java, line(s) 318 com/github/mikephil/charting/renderer/CombinedChartRenderer.java, line(s) 106 com/github/mikephil/charting/renderer/ScatterChartRenderer.java, line(s) 58 com/github/mikephil/charting/utils/FileUtils.java, line(s) 45,69,95,109,123,134,150,169,182 com/github/mikephil/charting/utils/Utils.java, line(s) 53,72,81 com/hjq/http/config/LogStrategy.java, line(s) 43,17 com/makeramen/roundedimageview/RoundedDrawable.java, line(s) 117 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 268,308 com/mu/gymtrain/Activity/DoorActivity.java, line(s) 65 com/mu/gymtrain/Activity/MainPackage/ArrangePriClassisActivity.java, line(s) 88 com/mu/gymtrain/Activity/MainPackage/InDoorNumActivity.java, line(s) 57 com/mu/gymtrain/Utils/MyLog.java, line(s) 21,27,15,39,45,51,57,33 com/mu/gymtrain/Widget/CircleProgress/CircleProgress.java, line(s) 165 com/mu/gymtrain/Widget/PicChosePackage/SelectFragment.java, line(s) 231,236 com/mu/gymtrain/service/BluetoothScanUtil.java, line(s) 73,80,102,111 com/mu/gymtrain/service/UartService.java, line(s) 293,330,344,180,191,275,311,317,202,211,326,353,365,382,159,169,245,278,436 com/pgyersdk/f/c.java, line(s) 64,66,88,132,138,141 com/pgyersdk/f/f.java, line(s) 12,19,40,26,33 com/pgyersdk/feedback/a/g.java, line(s) 77 com/transitionseverywhere/PathParser.java, line(s) 120,515,520 com/transitionseverywhere/utils/ReflectionUtils.java, line(s) 56,83,94 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 178 com/yalantis/ucrop/UCropActivity.java, line(s) 138 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 116 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 126,158,199,89,132,144 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 113,53,84 com/yalantis/ucrop/util/EglUtils.java, line(s) 27 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 55,62,73,81,113,123,135,149,163,169,173,178,184,188,291,54,61,72,80,112,122,134,148,162,168,172,177,183,187 com/yalantis/ucrop/view/TransformImageView.java, line(s) 217,234,124,78 me/yokeyword/fragmentation/TransactionDelegate.java, line(s) 293,343,285,485 me/yokeyword/fragmentation/debug/DebugStackDelegate.java, line(s) 130 me/yokeyword/fragmentation/exception/AfterSaveStateTransactionWarning.java, line(s) 8 org/greenrobot/eventbus/Logger.java, line(s) 81,86 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 185 org/greenrobot/eventbus/util/ExceptionToResourceMapping.java, line(s) 25 rx/internal/util/IndexedRingBuffer.java, line(s) 29 rx/internal/util/RxRingBuffer.java, line(s) 25 rx/plugins/RxJavaHooks.java, line(s) 207
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/mu/gymtrain/Utils/CommonUtils.java, line(s) 4,27
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/hjq/http/ssl/HttpSslFactory.java, line(s) 101,53,66,100,88,99,99 com/mu/gymtrain/Http/HttpHelper.java, line(s) 58,58
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/mu/gymtrain/Utils/CommonUtils.java, line(s) 93,94
综合安全基线评分总结
自健身 v3.3.4
Android APK
53
综合安全评分
中风险