应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Crédito Express v1.0.3
58
安全评分
安全基线评分
58/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
14
中危
2
信息
3
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
14
安全提示信息
2
已通过安全项
3
重点安全关注
0
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/creditoexpress/creditloan/vowels/ExpressImageView.java, line(s) 33 d3/c.java, line(s) 36
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.appsflyer.MultipleInstallBroadcastReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.creditoexpress.creditloan.roseola.porgies.ExpDeliverMessage) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: r5/a.java, line(s) 53
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/creditoexpress/creditloan/roseola/porgies/ExpDeliverMessage.java, line(s) 16 com/exp/permission/PermissionFragment.java, line(s) 20 n6/a.java, line(s) 16 n6/b.java, line(s) 3 o6/a.java, line(s) 3
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b3/a.java, line(s) 33 o2/f.java, line(s) 108 q2/c.java, line(s) 36,42,43,46
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: w3/m0.java, line(s) 5,6,92,110,166,230,272,296,352,426 w3/t0.java, line(s) 4,5,135
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: b3/e.java, line(s) 717,713
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/appsflyer/internal/AFa1aSDK.java, line(s) 26,32
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_api_key" : "AIzaSyCq3AyLikq4wUWraO6_kUeXcJu_sgH_lcc" "google_app_id" : "1:884984838428:android:bddc352257f32e0dcae2d9" "google_crash_reporting_api_key" : "AIzaSyCq3AyLikq4wUWraO6_kUeXcJu_sgH_lcc" 0RPe0Eibwb2s+bqt6bSgGj6vjGsxhqhi0/o7h3B9jmg= a9f9e39f24321fdf19d6809e3a9c626e 5a9bda353668b409113c68156379440c FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212 E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1 FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901 3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b1/w.java, line(s) 270 b4/h.java, line(s) 52 com/appsflyer/AFLogger.java, line(s) 54,84,134,132,106,73,91 com/appsflyer/internal/AFa1eSDK.java, line(s) 43,153,44,154,188 com/appsflyer/internal/AFa1qSDK.java, line(s) 60,65 com/appsflyer/internal/AFb1zSDK.java, line(s) 3122,3016,3020 com/appsflyer/internal/AFd1bSDK.java, line(s) 17 com/appsflyer/internal/AFd1eSDK.java, line(s) 44 com/appsflyer/internal/AFd1fSDK.java, line(s) 29,30 com/appsflyer/internal/AFd1iSDK.java, line(s) 120,125 com/appsflyer/internal/AFd1jSDK.java, line(s) 30,31 com/appsflyer/internal/AFd1oSDK.java, line(s) 44 com/appsflyer/internal/AFd1tSDK.java, line(s) 46,96,27 com/appsflyer/internal/AFd1xSDK.java, line(s) 100,98,175,96,164 com/pairip/licensecheck/LicenseActivity.java, line(s) 93,71 com/pairip/licensecheck/LicenseClient.java, line(s) 77,90,121,138,168,196,187,112 d3/b.java, line(s) 76 e5/f.java, line(s) 34,41,44,53,87 e5/n.java, line(s) 156 f/g.java, line(s) 171,213,270 f1/e.java, line(s) 139 g/c.java, line(s) 264 h0/c.java, line(s) 117 h0/o.java, line(s) 115 i1/c.java, line(s) 167 l0/a.java, line(s) 106,117 l0/c.java, line(s) 73 l0/d.java, line(s) 128 l0/f.java, line(s) 152 m0/e.java, line(s) 92 m0/g.java, line(s) 32,104 m0/h.java, line(s) 117,123 m0/l.java, line(s) 265 m0/m.java, line(s) 963 m1/a.java, line(s) 366,1050,1170,1241,1284,1289,1295,1361,1525,1693,1696,1705,1711,1777,1861,1913,2096,2158,2221,2376,2412,2543,2619,2700,2771,2832,2883,2904,2917,2949,1067,143,1254,1258,1262,1579,2087,2111,2441,2493,2507,2795,2985 n0/a.java, line(s) 229,118,274 n0/c.java, line(s) 113 o4/d.java, line(s) 148,181 p0/d.java, line(s) 91,247 p0/m.java, line(s) 27 p0/x.java, line(s) 66 p3/i.java, line(s) 37,44,47,55,85,90,95,100,105 p4/b.java, line(s) 65 q5/b.java, line(s) 28 r0/a.java, line(s) 105 r4/h.java, line(s) 632 r5/a.java, line(s) 57,78 s/x0.java, line(s) 13,20,27,34,41,50,68,75 s0/f.java, line(s) 136,145,258 s3/a.java, line(s) 15,22,29,14,21,28,42,43,49,50 t0/d.java, line(s) 373,378 t0/f.java, line(s) 69 t0/g.java, line(s) 40,73 t0/h.java, line(s) 54,215 t0/l.java, line(s) 97 t1/a.java, line(s) 102 top/zibin/luban/b.java, line(s) 143,142 v1/h.java, line(s) 76,62,66 w1/a.java, line(s) 93 w4/i.java, line(s) 22,31,38,30,37,44,45,51,52 x/c.java, line(s) 20 x0/g.java, line(s) 30,34,38 x0/k.java, line(s) 31 y0/d.java, line(s) 60 y1/b.java, line(s) 30 z1/i.java, line(s) 54,66,81 z1/s0.java, line(s) 33 z4/e.java, line(s) 315,281,285,196
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: b3/v.java, line(s) 5,82
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: p2/c.java, line(s) 62 w4/v.java, line(s) 28
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: a3/e.java, line(s) 20,20
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/884984838428/namespaces/firebase:fetch?key=AIzaSyCq3AyLikq4wUWraO6_kUeXcJu_sgH_lcc ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
Crédito Express v1.0.3
Android APK
58
综合安全评分
中风险