应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
PrestaMax v1.0.9
52
安全评分
安全基线评分
52/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
15
中危
2
信息
2
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
15
安全提示信息
2
已通过安全项
2
重点安全关注
0
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/prestamx/max/activity/WebHActivity.java, line(s) 52,109,6,7
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/prestamx/max/java_calss/yyqsz.java, line(s) 42,86,99
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.prestamx.max.activity.DelAccountSmsActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: coil/memory/MemoryCache.java, line(s) 183
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: pzetpkg/ogbxud.java, line(s) 45
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: jbfezcb/exkcc.java, line(s) 5,6,88,138,181,192,212,268,341,495 jbfezcb/okynidv.java, line(s) 4,5,111
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/prestamx/max/activity/WebHAuthActivity.java, line(s) 538,525
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: rukhqcea/mwowwskti.java, line(s) 52
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: kqgsmx/mwowwskti.java, line(s) 3
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_api_key" : "AIzaSyBbtYLqdxwxh0V8Q_f37UYcZTvnzCPwg2s" "google_app_id" : "1:133730352502:android:e8a8ce91358c3c8a4ace57" "google_crash_reporting_api_key" : "AIzaSyBbtYLqdxwxh0V8Q_f37UYcZTvnzCPwg2s" 68HDpV9YK1g6GSAIiLc/S68CFhsN76AUilVJyLhvgZo= 62khOpNX6oXW8WKtZsnuDb3eVcrxQL5uSMtMbmO6Hf4= rWPBXEoLkhlZQV8u3BHjyaZqkRni6OfUr/dkjL25f5w= E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1 6SSu7jnG1m+gOhTWwiUC3zk5Gwprx8eUS9uPi2i4xlg= 9dc3c5d73af5bb259afdba155f5fcc7b aR+oaYq8xRvykWjmEKFDCRG5DloZNbJiICJbHX5S0xY= Igp/Fewy+xBi4ii30UAjU0ELwkYfUE307EzOthVSYJ4= STzszbAIFM87pbbvtCMkbcKWpsBYv82nFQlNTnlhBIGSn3EfbJX5qOVJ6jJ6eiQx ljS9gJrKI4IV7+fFX8SK9ROOMO6sdYNBD795MAgxaCI= oBmGmKOfwzyzQbOTRKzmD03PoftkWQlTYWx5uKGFy8o= FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212 FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901 zfLMwQNcxmnP9YQ298yVevE5vYm9seey233XjbDTX3g= P7CtgNlvl1ZZzS8Kse+0TBBEuGNJyL7f4YE7Nxki/SI= VMaV5jmwzdQjlsJ6G7TE2WSQf2FWwkH4suLVg4Zrn7c= 6SSu7jnG1m+gOhTWwiUC3xG1HXZccOMyaiNPxEuThHI= ccf689421bb4ab9a0d8357eaf2f437ff Hl6/+FlieXvQfoHoAS2U5t6Oyp8LLcbMp+NOIJhhooU= rd8TTTFJn6Vx6h0YQnM6FHftVqS/Wemmcfmtozwcrdk= hW2uKob8L3MJ64aBXZ+I/Q== NtwThYl5HPykL8SasJSVxtQz9KO49y4v0TuXbHDNzM0= xy1KJsGe6eij0TXBkuXv1ZHoWp+yvLWIO9zTL0onHoo= WHH4uAcHAlvtzJFdtixvPzjO2JFid8clyDaAwXJyzcw= Ba2pS5+soQg6GgDaND9SfS5oz+sU+pD1JJl+QElVsx4= PhjqiZWakLJrSq+cXsF1hOv7e3AayCQRe/lBtNP+gZY= afq8gapGQHV3gXp85BI7dMzeBd6Hi0V0mG93ODm+okLFK0nA0Ie/n+PGX77deXWK hP3cs11l+6fNUCol7ZDrVA8rylCHEx0pjbQdAWxsrsc= XkXSicu2M8i2GgH2pOobzA9KHvB0RnQ28EFaAgGMjahFk8cn7FAsonsSApuN1Qc2 3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: aiyptt/mwowwskti.java, line(s) 91,94 aiyptt/nmqbnjf.java, line(s) 90,92 aiyptt/zppskyagv.java, line(s) 168,170 aiyptt/zwfgajm.java, line(s) 87,89 azijqjj/nqymzx.java, line(s) 112 azijqjj/vpqvb.java, line(s) 48,49 azijqjj/zwfgajm.java, line(s) 117 btdpagvn/emazevgh.java, line(s) 23,41,50,60 celvg/mwowwskti.java, line(s) 123,216,272,278,137,230 com/appsflyer/AFLogger.java, line(s) 48,62,80,78,95,104,55 com/appsflyer/internal/AFa1bSDK.java, line(s) 924 com/appsflyer/internal/AFd1aSDK.java, line(s) 18 com/appsflyer/internal/AFd1bSDK.java, line(s) 114 com/appsflyer/internal/AFd1eSDK.java, line(s) 22 com/appsflyer/internal/AFd1fSDK.java, line(s) 38 com/appsflyer/internal/AFd1lSDK.java, line(s) 31,59,77 com/appsflyer/internal/AFd1pSDK.java, line(s) 92 com/appsflyer/internal/AFd1uSDK.java, line(s) 90,127 com/appsflyer/internal/AFd1xSDK.java, line(s) 97,95,152,93,141 com/appsflyer/internal/AFe1tSDK.java, line(s) 348,351,372,388,391,553,589,951,969,981,984,1194,1210,1219,1221 com/appsflyer/internal/AFf1dSDK.java, line(s) 48,148,154,310,49,149,157,168,173 dpvu/wavzltwms.java, line(s) 184,166,170 ecuslkk/emazevgh.java, line(s) 61 etol/etol.java, line(s) 148,183,216 gagkjk/mwowwskti.java, line(s) 89 hebzbk/etol.java, line(s) 132 hzcwxtwcm/nmqbnjf.java, line(s) 215,243 ihcg/imtveu.java, line(s) 36,69,258,35,68,82,120,159,192,217,257,83,121,160,193,218,42,207 ihcg/mwowwskti.java, line(s) 82,95,116,224,239,313,81,94,115,223,238,312,112,128,140,246,267,287 ihcg/tfcj.java, line(s) 31,52,66 ihcg/vikxvh.java, line(s) 17,14,14 ihcg/wdmirpab.java, line(s) 24 ihcg/xhtwr.java, line(s) 29,40,28,39 ihcg/xyrcey.java, line(s) 40,39 iypf/mwowwskti.java, line(s) 148,158,195,204 iypf/nzpf.java, line(s) 31,54 jbpl/jzzsan.java, line(s) 24 jbpl/nzpf.java, line(s) 36 jbpl/otadknixd.java, line(s) 53,55,49 jbpl/tfcj.java, line(s) 58,62,101,119,123,83 jbpl/vpqvb.java, line(s) 37,65 jbpl/wavzltwms.java, line(s) 117,54,79,136,148,158,164,167,169,173 jbpl/zybqm.java, line(s) 130,174,181 jqxj/mwowwskti.java, line(s) 155,72,271 jqxj/zwfgajm.java, line(s) 68 kbpjcqc/zppskyagv.java, line(s) 57,60 kinq/mwowwskti.java, line(s) 145,150,157,161,177,187 lncgl/etol.java, line(s) 31,38,41,50,84 lncgl/nqymzx.java, line(s) 207 lpgwut/emazevgh.java, line(s) 281,303 mcxf/emazevgh.java, line(s) 28 mhpint/emazevgh.java, line(s) 40 mhpint/mwowwskti.java, line(s) 297,995,1219,1300,1480,1516,1597,1647,1694,1767,1909,2028,2180,2185,2191,2301,2343,2493,2540,2551,2558,2599,2607,2613,2623,2643,2656,2667,2698,2810,2813,139,1101,1111,1588,1607,1615,1852,1992,2000,2124,2148,2152,2156,2753,2914 mmzqqpyl/azijqjj.java, line(s) 373 momzvk/mhpint.java, line(s) 85 momzvk/ogbxud.java, line(s) 51 momzvk/zybqm.java, line(s) 151,288 nhgogndib/zybqm.java, line(s) 338 oocvaq/emazevgh.java, line(s) 76,87 osroeap/zwfgajm.java, line(s) 303 ppcbq/mwowwskti.java, line(s) 108,112 pzetpkg/momzvk.java, line(s) 122,124,128,132,137 rbxfetppi/mwowwskti.java, line(s) 80 rukhqcea/mwowwskti.java, line(s) 56,85 torct/vikxvh.java, line(s) 38,45,48,61,64,67,70,73,81 vhoxq/zybqm.java, line(s) 44 wdmirpab/slyvsmo.java, line(s) 20 wlvvhp/qwppmv.java, line(s) 22,19 wlvvhp/yvxno.java, line(s) 42,50,88,66,75,102 wlvvhp/zppskyagv.java, line(s) 16 xddoak/exkcc.java, line(s) 49 xddoak/hanydiwz.java, line(s) 33 xddoak/lcivfdpk.java, line(s) 180,303 xddoak/rhka.java, line(s) 50 xddoak/slyvsmo.java, line(s) 182,281 xozbuvg/emazevgh.java, line(s) 11,19 xozbuvg/gdlglvuk.java, line(s) 50 xozbuvg/kamfujg.java, line(s) 45,50 xozbuvg/kbpjcqc.java, line(s) 32,50 xozbuvg/nzpf.java, line(s) 26 xozbuvg/okynidv.java, line(s) 21 xozbuvg/rubjtuopd.java, line(s) 29 xozbuvg/yebtjpgtd.java, line(s) 45 xozbuvg/yyqsz.java, line(s) 38,41,44,47,50,53,61,64,67,70,143,151 xozbuvg/zves.java, line(s) 102 xozbuvg/zwfgajm.java, line(s) 420,298,302,306,312,438 xuuuvdsc/vikxvh.java, line(s) 51,66,94 xuuuvdsc/yebtjpgtd.java, line(s) 30,69 yvuwlzzb/emazevgh.java, line(s) 55 yxijxin/mwowwskti.java, line(s) 10,50,29,9,16,28,42,43,49,17 yyxafd/zwfgajm.java, line(s) 38 yzchl/zybqm.java, line(s) 261,264 zckadicr/nmqbnjf.java, line(s) 34 zckadicr/zwfgajm.java, line(s) 62 zckadicr/zybqm.java, line(s) 133,142,275 zgjogoc/iypf.java, line(s) 102 zgjogoc/qwppmv.java, line(s) 54,255 zgjogoc/vikxvh.java, line(s) 40,55 zgjogoc/zppskyagv.java, line(s) 525,530 zgjogoc/zybqm.java, line(s) 69 zybqm/zwfgajm.java, line(s) 433
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/prestamx/max/activity/Pay2Activity.java, line(s) 4,66 com/prestamx/max/activity/PayActivity.java, line(s) 4,99
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/prestamx/max/java_calss/vikxvh.java, line(s) 64,64
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/133730352502/namespaces/firebase:fetch?key=AIzaSyBbtYLqdxwxh0V8Q_f37UYcZTvnzCPwg2s ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
PrestaMax v1.0.9
Android APK
52
综合安全评分
中风险