应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
薪分期. v4.1.2
46
安全评分
安全基线评分
46/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
4
高危
11
中危
2
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
4
中危安全漏洞
11
安全提示信息
2
已通过安全项
2
重点安全关注
4
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/xinfenq/ui/activitys/MT10ACT.java, line(s) 244,243 com/xinfenq/ui/activitys/MT7ACT.java, line(s) 226,225 com/xinfenq/ui/activitys/MT9ACT.java, line(s) 360,359
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 60,10
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: c/e/a/c.java, line(s) 31
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 70,75,5
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Broadcast Receiver (com.base.commonlibrary.netstate.NetworkStateReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.xinfenq.gzd.FZGBReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: a/h/e/b.java, line(s) 58 a/h/i/b.java, line(s) 14,20,20 c/j/a/a.java, line(s) 28,20,28 c/j/a/f.java, line(s) 32 c/k/b/d/a/d.java, line(s) 7 com/just/agentweb/AgentWebUtils.java, line(s) 280,363 com/xinfenq/gzd/FZGB0Service.java, line(s) 304
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: c/c/a/l/d.java, line(s) 79 c/c/a/l/j/d.java, line(s) 37 c/c/a/l/j/p.java, line(s) 96 c/c/a/l/j/w.java, line(s) 82 faceverify/j.java, line(s) 38,35
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: a/p/b.java, line(s) 129
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: c/k/b/d/a/e.java, line(s) 12 faceverify/e.java, line(s) 21
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c/k/c/b/a.java, line(s) 47 facadeverify/b.java, line(s) 17
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c/a/a/r/e.java, line(s) 13 c/e/a/s.java, line(s) 159,177 c/f/a/m/g/a.java, line(s) 1295 c/f/a/n/i.java, line(s) 134 com/just/agentweb/AgentWebUtils.java, line(s) 570 faceverify/d.java, line(s) 302,346 faceverify/v.java, line(s) 43,63,103,133,172,202,246
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/xinfenq/ui/activitys/MT8ACT.java, line(s) 54,56
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.amap.com.xinfenq.mjyp.app.api.v2.apikey" : "0bsdfvdd0" b20292cc45269854c712 b48852f124ad471e9b6ad06066c50e65 7504f3f0-aca8-4636-b486-e396559d3efb fd4ddd72c85fd5fe2913be520df32ed0 ab05c5fe1172477aa023e3046a6abbd2 09ce2f7bfb9243debf2c2efe05a1d047 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3DtFIIG5OhLgYu4lA3GAx4DAhLyag2HSd2lsr1L66hH9SdefhaknsujWnumk+yNMYlQFdDnJ1Z8A4kj6zLJYRnNLyUeU0tI9uMlPr6AGbdiaV85BoK0YXJY6pxEw3w55ooznTjMswIRyv93o8fBKWx/7mEnsrayE8VITzHroIuQIDAQAB f4qgkb85q4pMRMChLeC7uSn2wwTWGXrs
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/b/k/e.java, line(s) 1782,947,953,1416,1809,2017 a/b/k/g.java, line(s) 100 a/b/k/h.java, line(s) 49,59,74,84,101,113,125,134,147,161,173 a/b/k/j.java, line(s) 63,78 a/b/l/a/a.java, line(s) 101 a/b/p/g.java, line(s) 152,198,255 a/b/p/j/i.java, line(s) 393 a/b/p/j/j.java, line(s) 277 a/b/q/b0.java, line(s) 98,136,359,118,171,226,240,293,296,363,366,419 a/b/q/c0.java, line(s) 32 a/b/q/i0.java, line(s) 318,323 a/b/q/k0.java, line(s) 107 a/b/q/l0.java, line(s) 83 a/b/q/n0.java, line(s) 24,35,53,55,57 a/b/q/o.java, line(s) 98,112,126,135,271,445 a/b/q/r.java, line(s) 146 a/b/q/w.java, line(s) 110,144 a/b/q/x.java, line(s) 161,47,59,105,358 a/f/a/a/c.java, line(s) 137 a/f/a/b/a.java, line(s) 44 a/f/a/b/d.java, line(s) 77 a/f/a/b/f.java, line(s) 157,310,362 a/f/a/b/g.java, line(s) 202,204 a/f/a/b/h.java, line(s) 32,57 a/f/a/b/i.java, line(s) 110,115 a/f/a/b/k.java, line(s) 79 a/f/a/b/l.java, line(s) 111 a/f/a/b/m.java, line(s) 183,187,191 a/f/a/b/n.java, line(s) 412 a/f/a/b/q.java, line(s) 395,404,605,652,839,877,209,226,128,250,595,596,641 a/f/a/b/r.java, line(s) 140,142 a/f/a/b/s.java, line(s) 170,172,511 a/f/a/b/t.java, line(s) 349 a/f/b/d.java, line(s) 399 a/f/b/j/d.java, line(s) 303 a/f/c/a.java, line(s) 219,119,196,268 a/f/c/b.java, line(s) 603,1615,975,1076,618,624,1010,1656,1659 a/f/c/f.java, line(s) 100,206 a/h/d/b.java, line(s) 90,232 a/h/d/e.java, line(s) 27 a/h/d/i.java, line(s) 62,76,80 a/h/d/l.java, line(s) 62 a/h/e/d/a.java, line(s) 42 a/h/e/d/b.java, line(s) 74 a/h/e/d/f.java, line(s) 85,93 a/h/f/c.java, line(s) 509,514 a/h/f/e.java, line(s) 70 a/h/f/f.java, line(s) 40,71 a/h/f/g.java, line(s) 52,218 a/h/f/j.java, line(s) 81,84 a/h/f/k.java, line(s) 92 a/h/f/l/a.java, line(s) 97,106,164,174 a/h/f/l/e.java, line(s) 39,62 a/h/i/b.java, line(s) 22 a/h/i/c.java, line(s) 20 a/h/k/b.java, line(s) 38,49,51,62,64,84,87 a/h/l/b.java, line(s) 24 a/h/m/b.java, line(s) 62 a/h/m/b0.java, line(s) 274,286,293,302 a/h/m/c0/c.java, line(s) 138 a/h/m/f.java, line(s) 21,30 a/h/m/h.java, line(s) 14 a/h/m/t.java, line(s) 605 a/h/m/u.java, line(s) 22,33 a/h/m/w.java, line(s) 20,35,56,83,104,125,146 a/h/n/c.java, line(s) 27,36 a/h/n/h.java, line(s) 34,43 a/h/n/i.java, line(s) 290,281 a/j/b/c.java, line(s) 145 a/k/a/a.java, line(s) 475,736,1054,439,447,506,513,597,717,721 a/l/a/a.java, line(s) 53,123,132,144 a/l/a/b.java, line(s) 104 a/l/a/d.java, line(s) 228,236,256,364,372 a/l/a/j.java, line(s) 2013,2014,2022,2030,430,637,680,766,1123,1201,1204,1366,1382,1412,1431,1451,1569,1576,1592,1604,1753,1763,1769,1866,1913,1924,1927,1944,1954,2110,2206,2217,2291,2415,2423 a/l/a/l.java, line(s) 45,56 a/l/a/m.java, line(s) 92 a/o/a/b.java, line(s) 36,51,59,83,43 a/p/a.java, line(s) 325,364,415,417,200,207,209,215,347,349,358,361,404,113,144,203,211,218,229,238,250,310,328 a/p/b.java, line(s) 58,68,70,130,146,173,185,189,191,196,201,243,265,305,307,123,181,253,269,284,301,309 a/t/f0.java, line(s) 35,44,46 a/t/h.java, line(s) 54,66,81 a/t/p0.java, line(s) 39,117 a/u/a/a/i.java, line(s) 256,259 c/a/a/r/d.java, line(s) 18,29,46 c/c/a/c.java, line(s) 275,284,233,274,281,236 c/c/a/j/a.java, line(s) 300 c/c/a/k/d.java, line(s) 93,121,92,120 c/c/a/k/e.java, line(s) 59,75,92,58,74,91 c/c/a/l/i/b.java, line(s) 56,55 c/c/a/l/i/j.java, line(s) 82,108,81,107,111,117,124,121,125 c/c/a/l/i/l.java, line(s) 57,56 c/c/a/l/i/p/c.java, line(s) 107,106 c/c/a/l/i/p/e.java, line(s) 56,55 c/c/a/l/j/a0/e.java, line(s) 37,43,71,81,38,72,44,84 c/c/a/l/j/a0/i.java, line(s) 122,106 c/c/a/l/j/b0/a.java, line(s) 123,120 c/c/a/l/j/b0/b.java, line(s) 39,38 c/c/a/l/j/h.java, line(s) 510,334,348,509,457 c/c/a/l/j/i.java, line(s) 58,59 c/c/a/l/j/k.java, line(s) 16,162 c/c/a/l/j/y.java, line(s) 85,86 c/c/a/l/j/z/j.java, line(s) 159,199,160,200 c/c/a/l/j/z/k.java, line(s) 103,115,187,222,102,114,145,152,168,186,196,211,221,146,153,174,197,212 c/c/a/l/k/c.java, line(s) 16,15 c/c/a/l/k/d.java, line(s) 46,45 c/c/a/l/k/f.java, line(s) 103,102 c/c/a/l/k/s.java, line(s) 91,94 c/c/a/l/k/t.java, line(s) 37,36 c/c/a/l/l/a.java, line(s) 80,81 c/c/a/l/l/d/d.java, line(s) 14,15 c/c/a/l/l/d/k.java, line(s) 100,313,99,179,312,390,415,180,245,391 c/c/a/l/l/d/l.java, line(s) 41,47,42,48 c/c/a/l/l/d/p.java, line(s) 78,79 c/c/a/l/l/d/x.java, line(s) 107,112,124,133,140,108,113,125,134,141,142,143,147 c/c/a/l/l/d/z.java, line(s) 167,164 c/c/a/l/l/h/a.java, line(s) 63,83,88,93,64,84,89,94 c/c/a/l/l/h/d.java, line(s) 21,22 c/c/a/l/l/h/j.java, line(s) 39,42 c/c/a/m/e.java, line(s) 36,35,62,78,63,79 c/c/a/m/f.java, line(s) 12,11 c/c/a/m/k.java, line(s) 155,156,167 c/c/a/m/m.java, line(s) 92,93 c/c/a/m/n.java, line(s) 149,156,150,157 c/c/a/n/e.java, line(s) 53,60,71,76,52,59,64,70,75,65 c/c/a/p/g.java, line(s) 105,17,427,451 c/c/a/p/i/i.java, line(s) 55,137,138,56 c/c/a/q/b.java, line(s) 19 c/c/a/r/l/a.java, line(s) 63,64 c/e/a/i.java, line(s) 308 c/e/a/s.java, line(s) 149,144 c/f/a/m/g/a.java, line(s) 1229,1230,1231,1232 c/g/a/a/d0/a.java, line(s) 554 c/g/a/a/f0/d.java, line(s) 139,171 c/g/a/a/g0/b.java, line(s) 80 c/g/a/a/i0/h.java, line(s) 519 c/g/a/a/m/h.java, line(s) 52 c/k/a/a.java, line(s) 105,54,39 c/k/b/d/d/a.java, line(s) 37 com/contrarywind/view/WheelView.java, line(s) 344 com/just/agentweb/AgentWebUtils.java, line(s) 145,118,119,125,138 com/just/agentweb/AgentWebView.java, line(s) 60,88,98,280,42,268,272 com/just/agentweb/DefaultChromeClient.java, line(s) 260,266 com/just/agentweb/JsCallJava.java, line(s) 133,66,42,81 com/just/agentweb/JsCallback.java, line(s) 69 com/just/agentweb/LogUtils.java, line(s) 10,26,39,16,34 com/liaoinstan/springview/widget/SpringHelper.java, line(s) 32 com/wildma/pictureselector/PictureSelectActivity.java, line(s) 115,118 com/xinfenq/gzd/FZGBReceiver.java, line(s) 38,41,47,49,52,58 com/xinfenq/ui/activitys/MT10ACT.java, line(s) 258,272 com/xinfenq/ui/activitys/MT7ACT.java, line(s) 233,255,242,257 com/xinfenq/ui/activitys/MT8ACT.java, line(s) 28 com/xinfenq/ui/activitys/MT9ACT.java, line(s) 143,149,367,371,388 com/xinfenq/ui/activitys/W0ACT.java, line(s) 1254,1294 e/a.java, line(s) 12 e/b.java, line(s) 12 h/a/a/f.java, line(s) 25,30 i/n/d/e.java, line(s) 24 i/q/c.java, line(s) 231
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/xinfenq/ui/activitys/N0ACT.java, line(s) 4,164
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: c/k/b/d/a/a.java, line(s) 66,75,66,75 c/k/b/d/a/b.java, line(s) 108,117,108,117
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (jzlwjfanjzxcv.s3.ap-east-1.amazonaws.com) 通信。
{'ip': '52.95.162.74', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zcvkjliuoqwead-1329567725.cos.ap-guangzhou.myqcloud.com) 通信。
{'ip': '27.155.119.148', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '福州', 'latitude': '26.061390', 'longitude': '119.306107'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ijljlkjzxcv-1324028813.cos.ap-guangzhou.myqcloud.com) 通信。
{'ip': '27.155.119.140', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '福州', 'latitude': '26.061390', 'longitude': '119.306107'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (nice800.com) 通信。
{'ip': '43.132.110.135', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
综合安全基线评分总结
薪分期. v4.1.2
Android APK
46
综合安全评分
中风险