应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
EfectivoYa v2.3
52
安全评分
安全基线评分
52/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
10
中危
2
信息
2
安全
隐私风险评估
1
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
10
安全提示信息
2
已通过安全项
2
重点安全关注
0
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/mxff/ffxxmm/ffWebView/BaseWebView.java, line(s) 46,8,9
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: v0/c.java, line(s) 68
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.cnhz.android.main.view.activity.ActivitySplash) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: p0/b.java, line(s) 282 x1/i.java, line(s) 268 x1/q.java, line(s) 18,21,33,36
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: n3/r.java, line(s) 4 x2/a.java, line(s) 3
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: f/d.java, line(s) 80
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/appsflyer/internal/AFb1zSDK.java, line(s) 64
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/appsflyer/internal/AFb1zSDK.java, line(s) 124
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "tip_to_private_procotol" : "Comentario" c1fcbf843b78b13b40d6411b25989d9a b9372d7b7870300534c063882f90f25c a8c365097c78a355a633fd5a7cdcaa94 cb092b65ecbc0935a30f52bfb72493ea YW5kcm9pZC5wZXJtaXNzaW9uLlJFQURfU01T FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212 E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1 FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901 3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b3/b.java, line(s) 428 com/appsflyer/AFLogger.java, line(s) 32,63,81,79,96,105,39 com/appsflyer/internal/AFa1dSDK.java, line(s) 940 com/appsflyer/internal/AFd1fSDK.java, line(s) 27,29,30 com/appsflyer/internal/AFd1kSDK.java, line(s) 33,41 com/appsflyer/internal/AFd1nSDK.java, line(s) 90,111,132,134,150,158 com/appsflyer/internal/AFd1oSDK.java, line(s) 32 com/appsflyer/internal/AFd1pSDK.java, line(s) 16 com/appsflyer/internal/AFd1sSDK.java, line(s) 38,92 com/appsflyer/internal/AFd1tSDK.java, line(s) 97,95,148,93,137 com/appsflyer/internal/AFd1uSDK.java, line(s) 100,133,41 com/appsflyer/internal/AFe1kSDK.java, line(s) 27,56,59,60 com/appsflyer/internal/AFe1uSDK.java, line(s) 153,165,166,171,184,187,198,271,292,300,303,307,354,355,360,364,373,379 com/appsflyer/internal/AFf1bSDK.java, line(s) 49,157,163,185,50,158,166,172,177 com/cnhz/android/main/usercenter/view/ActivityCamera.java, line(s) 54 com/cnhz/android/main/usercenter/view/FragmtAuthLive.java, line(s) 71 com/cnhz/android/main/view/activity/ActivitySplash.java, line(s) 41,50,82 com/cnhz/android/net/interceptor/LogInterceptor.java, line(s) 13,16,17,18,19,23 com/kls/snip/core/InfoLib.java, line(s) 81 com/miui/referrer/commons/LogUtils.java, line(s) 30,38,31,39 com/mxff/ffxxmm/activity/FFTakeSelfieActivity.java, line(s) 121 com/mxff/ffxxmm/utils/FFPeeSpanUtils.java, line(s) 338,351 com/mxff/ffxxmm/utils/c.java, line(s) 25 com/permissionx/guolindev/request/InvisibleFragment.java, line(s) 494 com/ts/a/h.java, line(s) 133 com/ts/a/k.java, line(s) 22 d/b.java, line(s) 406 e/d.java, line(s) 77,104,76,103 e/e.java, line(s) 525,546,564,524,545,563 g/b.java, line(s) 56,55 g/j.java, line(s) 55,155,54,154,158,164,171,168,172 g/l.java, line(s) 57,56 h/c.java, line(s) 113,112 h/e.java, line(s) 63,62 h1/e.java, line(s) 36 h1/i.java, line(s) 34,37 i/i.java, line(s) 110,150,111,151 i/j.java, line(s) 117,157,167,179,82,116,126,146,156,166,178,199,206,88,127,200,207,147 j/e.java, line(s) 43,49,77,87,44,78,50,90 j/i.java, line(s) 122,106 j3/e.java, line(s) 50,50,70 k/a.java, line(s) 139,136 l/c.java, line(s) 16,15 l/d.java, line(s) 46,45 l/f.java, line(s) 106,105 l/r.java, line(s) 82,85 l/s.java, line(s) 35,34 me/jessyan/autosize/AutoSize.java, line(s) 107 me/jessyan/autosize/AutoSizeConfig.java, line(s) 321,334,347,243 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28 me/jessyan/autosize/utils/AutoSizeLog.java, line(s) 15,21,35 n/k.java, line(s) 83,84 p0/a.java, line(s) 25 pub/devrel/easypermissions/AppSettingsDialog.java, line(s) 82 s/c.java, line(s) 35,34,57,75,58,76 s/d.java, line(s) 13,12 s/i.java, line(s) 92,93 t/d.java, line(s) 54,61,73,78,53,60,65,72,77,66 v/i.java, line(s) 56,97,98,57 w1/a.java, line(s) 38,55,63,71 x/b.java, line(s) 19 x1/v.java, line(s) 16,26,10 z/a.java, line(s) 64,65
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: p0/b.java, line(s) 6,164,165
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: x1/i.java, line(s) 93,94
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: b0/b.java, line(s) 21,21 e1/c.java, line(s) 72,72 i3/d.java, line(s) 106,104,103 i3/e.java, line(s) 122,111,120,130,119,119,121 i3/j.java, line(s) 106,104,103,103 i3/k.java, line(s) 235,222,233,232,232 q1/e.java, line(s) 45,115 s0/b.java, line(s) 39,39
综合安全基线评分总结
EfectivoYa v2.3
Android APK
52
综合安全评分
中风险