应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
XT工具箱 v3.6.15
32
安全评分
安全基线评分
32/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在较高安全风险,需要重点关注
漏洞与安全项分布
9
高危
12
中危
2
信息
1
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
9
中危安全漏洞
12
安全提示信息
2
已通过安全项
1
重点安全关注
0
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: a/a/f/a/d.java, line(s) 75,70 c/a/a/k/v/m.java, line(s) 227,220
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: c/a/a/k/v/m.java, line(s) 486,24
高危安全漏洞 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: net/fusionapp/core/FusionApplication.java, line(s) 29
高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: a/a/b/b/a/a/i.java, line(s) 74,6,3
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a/a/f/d/b.java, line(s) 12,24 a/a/g/a/a/a/a/b.java, line(s) 33,46,90,107
高危安全漏洞 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: kellinwood/security/zipsigner/optional/PasswordObfuscator.java, line(s) 54,105
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: q/rorbin/badgeview/BuildConfig.java, line(s) 3,4
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: net/fusionapp/core/webcore/UrlLoaderImpl.java, line(s) 125,187,7
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a/a/a/b/a.java, line(s) 449 a/a/f/d/b.java, line(s) 12,24
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a/a/a/b/a.java, line(s) 81,463 a/a/g/a/a/a/a/b.java, line(s) 32,89 apksigner/Signature.java, line(s) 26 apksigner/Signer.java, line(s) 128,160 kellinwood/security/zipsigner/ZipSignature.java, line(s) 14 kellinwood/security/zipsigner/ZipSigner.java, line(s) 102,187,236 kellinwood/security/zipsigner/optional/JKS.java, line(s) 62,89,90,323
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: a/a/f/i/a.java, line(s) 5,6,23,62
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: a/a/a/b/a.java, line(s) 389,393,487 a/a/c/a/a.java, line(s) 126 a/a/c/f/a.java, line(s) 83 a/a/g/a/a/b/a.java, line(s) 67 a/d/a/k.java, line(s) 150 c/a/a/m/q.java, line(s) 243 np/protect/assets/C0079.java, line(s) 251
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: a/a/f/c/c.java, line(s) 5 a/a/f/f/d.java, line(s) 4 q/rorbin/badgeview/BadgeAnimator.java, line(s) 12
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: kellinwood/security/zipsigner/optional/KeyStoreFileManager.java, line(s) 216,225
中危安全漏洞 IP地址泄露
IP地址泄露 Files: a/a/f/j/g.java, line(s) 39,39 kellinwood/security/zipsigner/optional/JKS.java, line(s) 110,110
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a/d/a/r.java, line(s) 133,151 kellinwood/security/zipsigner/ZipSigner.java, line(s) 263
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: kellinwood/security/zipsigner/ZipSigner.java, line(s) 53,56
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: c/a/a/m/d.java, line(s) 81,62
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 aa9852bc5a53272ac8031d49b65e4b0e e60418c4b638f20d0721e115674ca11f dab2cead827ef5313f28e22b6fa8479f 3e24e49741b60c215c010dc6048fca7d 44656C69766572792D646174653A q1w2e3r4t5y6u7i8o9p0a1s2d3f4g5h6j7k8l9z0x1c2v3b4n5m6 b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/a/a/b/a.java, line(s) 598,599,600,601 a/d/a/g.java, line(s) 92,146,204 a/d/a/k.java, line(s) 161,309,376,299,359,446,452,574,593,599 a/d/a/q.java, line(s) 38 apksigner/Signer.java, line(s) 73 b/a/a/a/b/a.java, line(s) 437 c/a/a/h.java, line(s) 505 c/a/a/k/v/m.java, line(s) 241,244,86,199 c/a/a/m/a2/a.java, line(s) 11 c/a/a/m/a2/b.java, line(s) 21 c/a/a/m/d.java, line(s) 108 c/a/a/m/q.java, line(s) 339,81,62,74 com/download/library/NotificationCancelReceiver.java, line(s) 21 com/luajava/Console.java, line(s) 38,39,24 com/luajava/LuaObject.java, line(s) 334 com/luajava/LuaState.java, line(s) 552,556 kellinwood/logging/android/AndroidLogger.java, line(s) 142,144,115,130,132,55,64,73,82,166,168,154,156 mao/res/StringBlock.java, line(s) 39,41,44,49,52,70,72,114,122,127 net/fusionapp/core/FusionActivity.java, line(s) 398 net/fusionapp/core/util/FileUtil.java, line(s) 29 net/fusionapp/core/util/FusionUtil.java, line(s) 23 net/fusionapp/core/webcore/FusionCoreWebView.java, line(s) 205,304,79,170 np/protect/assets/ShellApplication.java, line(s) 52 np/protect/assets/a/C0031.java, line(s) 1192,1435 np/protect/assets/a/C0034.java, line(s) 27
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: net/fusionapp/core/util/AppUtil.java, line(s) 4,11
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
XT工具箱 v3.6.15
32
综合安全评分
高风险