应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Share Any v2.1.7
52
安全评分
安全基线评分
52/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
15
中危
3
信息
2
安全
隐私风险评估
7
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
15
安全提示信息
3
已通过安全项
2
重点安全关注
0
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: v6/sa.java, line(s) 443,928,22,23
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个7隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.facebook.CustomTabActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Content Provider (com.facebook.FacebookContentProvider) 未受保护。
[android:exported=true] 检测到 Content Provider 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: c7/d.java, line(s) 5,6,211,450,536,663 com/genonbeta/android/database/SQLQuery.java, line(s) 79,99,96 r5/c.java, line(s) 145,146,249,256,265,270,337,344,353,360,275,284,285,315,330 s1/e.java, line(s) 5,256,285,301
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: o4/m.java, line(s) 4 sc/a.java, line(s) 3 sc/b.java, line(s) 4 tc/a.java, line(s) 4
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: b9/c.java, line(s) 56 nd/c.java, line(s) 202 s1/i.java, line(s) 41
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f3/c.java, line(s) 86 g/v.java, line(s) 370 v6/z4.java, line(s) 21 w4/h.java, line(s) 90
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/genonbeta/android/database/BuildConfig.java, line(s) 9
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b9/b.java, line(s) 43 j5/a.java, line(s) 16 u6/c.java, line(s) 41,46,49,52
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: a6/i.java, line(s) 14 net/shareany/app/fragment/HomeFragment.java, line(s) 350,353 o5/b.java, line(s) 317,318,319,320
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: q/b.java, line(s) 11 t3/p.java, line(s) 91
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: v6/sa.java, line(s) 238,199
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-2275526323323134~2789070125" "google_api_key" : "AIzaSyAfP_jsXRzsIGYWTfzuzIGvGHiCooqc2AQ" "google_app_id" : "1:990821344836:android:e6aba4e4908aac85c0fe11" "google_crash_reporting_api_key" : "AIzaSyAfP_jsXRzsIGYWTfzuzIGvGHiCooqc2AQ" df6b721c8b4d3b6eb44c861d4415007e5a35fc95 c103703e120ae8cc73c9248622f3cd1e 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc 9b8f518b086098de3d77736f9458a3d2f6f95a37 cc2751449a350f668590264ed76692694a80308a c56fb7d591ba6704df047fd98f535372fea00211
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/g.java, line(s) 491 a4/c.java, line(s) 19 a4/i.java, line(s) 21,24 a4/k.java, line(s) 190,211,214,304,323,330,344,350 a4/r.java, line(s) 69,73,77,81,85,96,104 a4/w.java, line(s) 80,87,92 a6/j.java, line(s) 115 a6/m.java, line(s) 96 c1/a.java, line(s) 77 com/genonbeta/CoolSocket/CoolSocket.java, line(s) 91,378 e4/a.java, line(s) 105,117,122,127 e4/g.java, line(s) 48 f9/c.java, line(s) 224 ge/f.java, line(s) 10,15 i4/i.java, line(s) 20 j4/i.java, line(s) 45,93 md/a.java, line(s) 123,140 n3/f.java, line(s) 132 n4/a.java, line(s) 48 nd/c.java, line(s) 705,743,746,1343 nd/d.java, line(s) 53,55 o3/a.java, line(s) 319 p0/z.java, line(s) 1104 p3/d.java, line(s) 168,193 p3/e.java, line(s) 93,113,128 s3/a.java, line(s) 96 t0/i.java, line(s) 17 t3/i.java, line(s) 139,221,546 t3/j.java, line(s) 134 t3/l.java, line(s) 19 t3/z.java, line(s) 43,105,117 t5/i.java, line(s) 60 u3/h.java, line(s) 135,170 u3/i.java, line(s) 59,61,70,104,112,137,166,180,196,207 v/d.java, line(s) 256 v3/e.java, line(s) 51,83,93,107 v3/j.java, line(s) 78 vd/v.java, line(s) 36,50 w3/a.java, line(s) 106 w4/h.java, line(s) 124 x3/c.java, line(s) 43 x3/f.java, line(s) 104 x3/s.java, line(s) 87 x3/t.java, line(s) 74,79,87,99 yc/b0.java, line(s) 114 z3/a.java, line(s) 75
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: a6/f.java, line(s) 4,9
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: a5/b.java, line(s) 82,82 o4/b.java, line(s) 18,18 o4/j0.java, line(s) 13,13 o4/r0.java, line(s) 109,109 u4/g.java, line(s) 214,214
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: vd/t.java, line(s) 128,127,136,126,126
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/990821344836/namespaces/firebase:fetch?key=AIzaSyAfP_jsXRzsIGYWTfzuzIGvGHiCooqc2AQ ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
Share Any v2.1.7
Android APK
52
综合安全评分
中风险