应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告

天美传媒 v5.1
54
安全评分
安全基线评分
54/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
18
中危
4
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
18
安全提示信息
4
已通过安全项
2
重点安全关注
0
高危安全漏洞 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: e5/e.java, line(s) 199 h5/a.java, line(s) 396,475 i5/c.java, line(s) 51 k5/a.java, line(s) 182 k5/d.java, line(s) 61,93 m7/e.java, line(s) 64
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.jbzd.media.blackliaos.ui.appstore.DownloadCompleteReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasFour) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasThree) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasTwo) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.jbzd.media.blackliaos.aliasOne) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/jbzd/media/blackliaos/bean/response/SearchTagDao.java, line(s) 4,22,29 com/jbzd/media/blackliaos/bean/response/UploadBeanDao.java, line(s) 4,47,54 g5/a.java, line(s) 4,18,19,30,31 org/greenrobot/greendao/database/f.java, line(s) 4,21 ra/a.java, line(s) 6,7,254 v0/a.java, line(s) 5,6,44 w1/m.java, line(s) 4,25 w1/n.java, line(s) 3,23 w1/o.java, line(s) 4,5,84,129 w1/q.java, line(s) 3,11,12,13,14,15 w1/r.java, line(s) 3,11,12,13 w1/s.java, line(s) 3,11 w1/t.java, line(s) 3,11,12,13 w1/u.java, line(s) 3,11,12,13,14,15 w1/v.java, line(s) 4,5,75
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/jbzd/media/blackliaos/ui/index/darkplay/trade/NewTradeActivity.java, line(s) 408 com/jbzd/media/blackliaos/ui/post/PostInputActivity.java, line(s) 440 com/jbzd/media/blackliaos/ui/splash/SplashActivity.java, line(s) 457,460 s0/p.java, line(s) 14,20 s6/u.java, line(s) 84 s6/w.java, line(s) 37,40 u6/i.java, line(s) 34,37 z4/e.java, line(s) 52,92 z6/h.java, line(s) 67 z6/m.java, line(s) 35
中危安全漏洞 IP地址泄露
IP地址泄露 Files: d8/b.java, line(s) 170 s0/f.java, line(s) 119,180 s0/i.java, line(s) 21 s0/k.java, line(s) 16
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c3/o1.java, line(s) 304 k5/b.java, line(s) 96 m5/e.java, line(s) 93 z6/p.java, line(s) 25
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/jbzd/media/blackliaos/ui/download/WebPlayerActivity.java, line(s) 226,210 com/jbzd/media/blackliaos/ui/web/WebActivity.java, line(s) 146,142 com/jbzd/media/blackliaos/ui/web/WebFragment.java, line(s) 144,138
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/jbzd/media/blackliaos/ui/download/WebPlayerActivity.java, line(s) 213,210 com/jbzd/media/blackliaos/ui/web/WebActivity.java, line(s) 145,142 com/jbzd/media/blackliaos/ui/web/WebFragment.java, line(s) 140,138
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: i2/a.java, line(s) 11
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: k/q.java, line(s) 94
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a cd271bb945844572818ba0bda1b59e85
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: com/jbzd/media/blackliaos/MyApp.java, line(s) 70,98,119,142,157,70,98,119,142,157 com/jbzd/media/blackliaos/ui/index/IndexActivity.java, line(s) 386,386 com/jbzd/media/blackliaos/ui/splash/SplashActivity.java, line(s) 176,377,500,176,377,500 com/qunidayede/supportlibrary/core/view/BaseActivity.java, line(s) 273,273 com/qunidayede/supportlibrary/core/view/BaseThemeActivity.java, line(s) 25,25 com/qunidayede/supportlibrary/core/view/BaseThemeFragment.java, line(s) 38,38 com/qunidayede/supportlibrary/core/view/BaseThemeViewModelActivity.java, line(s) 30,30 com/qunidayede/supportlibrary/core/view/BaseThemeViewModelFragment.java, line(s) 39,39 d6/a.java, line(s) 24,28,24,28 h5/l.java, line(s) 97,97 p6/a.java, line(s) 42,42 u6/l.java, line(s) 52,52 y6/a.java, line(s) 49,49 z4/b.java, line(s) 17,29,17,29 z6/v.java, line(s) 63,82,63,82
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/g.java, line(s) 25 b0/i.java, line(s) 49,93 c7/c.java, line(s) 31 e5/e.java, line(s) 203 f/a.java, line(s) 209 f0/a.java, line(s) 36 g/d.java, line(s) 175,201 g/e.java, line(s) 101,121,136 h5/a.java, line(s) 400,479 i/b.java, line(s) 47 i/j.java, line(s) 95,129,133,135,141 i/l.java, line(s) 48 i2/b.java, line(s) 44 i5/c.java, line(s) 55 ia/d.java, line(s) 41 j/a.java, line(s) 95 k/b0.java, line(s) 52 k/j.java, line(s) 182,240,541 k/k.java, line(s) 136 k/m.java, line(s) 21 k5/a.java, line(s) 186 k5/d.java, line(s) 65,97 l/h.java, line(s) 132,167 l/i.java, line(s) 49,51,60,93,101,124,143,147,163,173 l7/i.java, line(s) 27,31 m/e.java, line(s) 50,82,92,102,122 m/j.java, line(s) 79 m2/e.java, line(s) 303 m2/n0.java, line(s) 31,42 m2/p0.java, line(s) 82 m7/e.java, line(s) 68 me/jessyan/autosize/AutoSize.java, line(s) 115 me/jessyan/autosize/AutoSizeConfig.java, line(s) 330,343,356,244 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28 n/a.java, line(s) 48 o/c.java, line(s) 16 o/d.java, line(s) 40 o/f.java, line(s) 98 o/t.java, line(s) 94 o/u.java, line(s) 40 oa/f.java, line(s) 10,15 r/h.java, line(s) 22,25 r/j.java, line(s) 161,177,181,185,191,264,283,291,304,308,310,313,317,322 r/m.java, line(s) 52,55 r/q.java, line(s) 90 r/y.java, line(s) 86,93,98 v/a.java, line(s) 134,146,151,156 v/c.java, line(s) 23 v/h.java, line(s) 43 x/e.java, line(s) 33,75,90 x/j.java, line(s) 69 x/k.java, line(s) 210 z9/c.java, line(s) 89
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: e5/e.java, line(s) 5,51,52
安全提示信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密
此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 Files: org/greenrobot/greendao/database/SqlCipherEncryptedHelper.java, line(s) 15,4,5
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: ha/c.java, line(s) 88,87,86 ha/d.java, line(s) 106,95,105,116,104,104 ha/g.java, line(s) 90,89,88,88 ha/h.java, line(s) 175,162,174,173,173 s0/h.java, line(s) 91,88,93
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结

天美传媒 v5.1
Android APK
54
综合安全评分
中风险