导航菜单

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

天美传媒 v5.1

Android APK 61b92246...
54
安全评分

安全基线评分

54/100

低风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

1 高危
18 中危
4 信息
2 安全

隐私风险评估

0
第三方跟踪器

隐私安全
未检测到第三方跟踪器


检测结果分布

高危安全漏洞 1
中危安全漏洞 18
安全提示信息 4
已通过安全项 2
重点安全关注 0

高危安全漏洞 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文

应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
e5/e.java, line(s) 199
h5/a.java, line(s) 396,475
i5/c.java, line(s) 51
k5/a.java, line(s) 182
k5/d.java, line(s) 61,93
m7/e.java, line(s) 64

中危安全漏洞 应用数据存在泄露风险

未设置[android:allowBackup]标志
建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。

中危安全漏洞 Broadcast Receiver (com.jbzd.media.blackliaos.ui.appstore.DownloadCompleteReceiver) 未受保护。

[android:exported=true]
检测到  Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasFour) 未受保护。

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasThree) 未受保护。

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasTwo) 未受保护。

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasOne) 未受保护。

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/jbzd/media/blackliaos/bean/response/SearchTagDao.java, line(s) 4,22,29
com/jbzd/media/blackliaos/bean/response/UploadBeanDao.java, line(s) 4,47,54
g5/a.java, line(s) 4,18,19,30,31
org/greenrobot/greendao/database/f.java, line(s) 4,21
ra/a.java, line(s) 6,7,254
v0/a.java, line(s) 5,6,44
w1/m.java, line(s) 4,25
w1/n.java, line(s) 3,23
w1/o.java, line(s) 4,5,84,129
w1/q.java, line(s) 3,11,12,13,14,15
w1/r.java, line(s) 3,11,12,13
w1/s.java, line(s) 3,11
w1/t.java, line(s) 3,11,12,13
w1/u.java, line(s) 3,11,12,13,14,15
w1/v.java, line(s) 4,5,75

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/jbzd/media/blackliaos/ui/index/darkplay/trade/NewTradeActivity.java, line(s) 408
com/jbzd/media/blackliaos/ui/post/PostInputActivity.java, line(s) 440
com/jbzd/media/blackliaos/ui/splash/SplashActivity.java, line(s) 457,460
s0/p.java, line(s) 14,20
s6/u.java, line(s) 84
s6/w.java, line(s) 37,40
u6/i.java, line(s) 34,37
z4/e.java, line(s) 52,92
z6/h.java, line(s) 67
z6/m.java, line(s) 35

中危安全漏洞 IP地址泄露

IP地址泄露


Files:
d8/b.java, line(s) 170
s0/f.java, line(s) 119,180
s0/i.java, line(s) 21
s0/k.java, line(s) 16

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
c3/o1.java, line(s) 304
k5/b.java, line(s) 96
m5/e.java, line(s) 93
z6/p.java, line(s) 25

中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/jbzd/media/blackliaos/ui/download/WebPlayerActivity.java, line(s) 226,210
com/jbzd/media/blackliaos/ui/web/WebActivity.java, line(s) 146,142
com/jbzd/media/blackliaos/ui/web/WebFragment.java, line(s) 144,138

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/jbzd/media/blackliaos/ui/download/WebPlayerActivity.java, line(s) 213,210
com/jbzd/media/blackliaos/ui/web/WebActivity.java, line(s) 145,142
com/jbzd/media/blackliaos/ui/web/WebFragment.java, line(s) 140,138

中危安全漏洞 应用程序使用不安全的随机数生成器

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
i2/a.java, line(s) 11

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
k/q.java, line(s) 94

中危安全漏洞 此应用可能包含硬编码机密信息

从应用程序中识别出以下机密确保这些不是机密或私人信息
1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM
16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
cd271bb945844572818ba0bda1b59e85

安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密

应用程序可以写入应用程序目录。敏感信息应加密


Files:
com/jbzd/media/blackliaos/MyApp.java, line(s) 70,98,119,142,157,70,98,119,142,157
com/jbzd/media/blackliaos/ui/index/IndexActivity.java, line(s) 386,386
com/jbzd/media/blackliaos/ui/splash/SplashActivity.java, line(s) 176,377,500,176,377,500
com/qunidayede/supportlibrary/core/view/BaseActivity.java, line(s) 273,273
com/qunidayede/supportlibrary/core/view/BaseThemeActivity.java, line(s) 25,25
com/qunidayede/supportlibrary/core/view/BaseThemeFragment.java, line(s) 38,38
com/qunidayede/supportlibrary/core/view/BaseThemeViewModelActivity.java, line(s) 30,30
com/qunidayede/supportlibrary/core/view/BaseThemeViewModelFragment.java, line(s) 39,39
d6/a.java, line(s) 24,28,24,28
h5/l.java, line(s) 97,97
p6/a.java, line(s) 42,42
u6/l.java, line(s) 52,52
y6/a.java, line(s) 49,49
z4/b.java, line(s) 17,29,17,29
z6/v.java, line(s) 63,82,63,82

安全提示信息 应用程序记录日志信息,不得记录敏感信息

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a0/g.java, line(s) 25
b0/i.java, line(s) 49,93
c7/c.java, line(s) 31
e5/e.java, line(s) 203
f/a.java, line(s) 209
f0/a.java, line(s) 36
g/d.java, line(s) 175,201
g/e.java, line(s) 101,121,136
h5/a.java, line(s) 400,479
i/b.java, line(s) 47
i/j.java, line(s) 95,129,133,135,141
i/l.java, line(s) 48
i2/b.java, line(s) 44
i5/c.java, line(s) 55
ia/d.java, line(s) 41
j/a.java, line(s) 95
k/b0.java, line(s) 52
k/j.java, line(s) 182,240,541
k/k.java, line(s) 136
k/m.java, line(s) 21
k5/a.java, line(s) 186
k5/d.java, line(s) 65,97
l/h.java, line(s) 132,167
l/i.java, line(s) 49,51,60,93,101,124,143,147,163,173
l7/i.java, line(s) 27,31
m/e.java, line(s) 50,82,92,102,122
m/j.java, line(s) 79
m2/e.java, line(s) 303
m2/n0.java, line(s) 31,42
m2/p0.java, line(s) 82
m7/e.java, line(s) 68
me/jessyan/autosize/AutoSize.java, line(s) 115
me/jessyan/autosize/AutoSizeConfig.java, line(s) 330,343,356,244
me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28
n/a.java, line(s) 48
o/c.java, line(s) 16
o/d.java, line(s) 40
o/f.java, line(s) 98
o/t.java, line(s) 94
o/u.java, line(s) 40
oa/f.java, line(s) 10,15
r/h.java, line(s) 22,25
r/j.java, line(s) 161,177,181,185,191,264,283,291,304,308,310,313,317,322
r/m.java, line(s) 52,55
r/q.java, line(s) 90
r/y.java, line(s) 86,93,98
v/a.java, line(s) 134,146,151,156
v/c.java, line(s) 23
v/h.java, line(s) 43
x/e.java, line(s) 33,75,90
x/j.java, line(s) 69
x/k.java, line(s) 210
z9/c.java, line(s) 89

安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
e5/e.java, line(s) 5,51,52

安全提示信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密

此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密


Files:
org/greenrobot/greendao/database/SqlCipherEncryptedHelper.java, line(s) 15,4,5

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
ha/c.java, line(s) 88,87,86
ha/d.java, line(s) 106,95,105,116,104,104
ha/g.java, line(s) 90,89,88,88
ha/h.java, line(s) 175,162,174,173,173
s0/h.java, line(s) 91,88,93

已通过安全项 此应用程序没有隐私跟踪程序

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

应用图标

天美传媒 v5.1

Android APK
54
综合安全评分
中风险