应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
24Six v66.1.24
58
安全评分
安全基线评分
58/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
0
高危
14
中危
2
信息
2
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
0
中危安全漏洞
14
安全提示信息
2
已通过安全项
2
重点安全关注
0
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (app.tfs.activity.ActivityMain) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (app.tfs.media.AppMediaService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (androidx.media3.session.MediaButtonReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: E0/r.java, line(s) 8 M0/A.java, line(s) 11 M0/AbstractC0099d.java, line(s) 8 M0/AbstractC0167d.java, line(s) 8 M0/C.java, line(s) 8 M0/O.java, line(s) 5 Y/b0.java, line(s) 5 c1/a.java, line(s) 3 c1/b.java, line(s) 3 d1/a.java, line(s) 3 n0/b.java, line(s) 16
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: V/C1590a.java, line(s) 1240,1248,1259 V/a.java, line(s) 240,249,261 app/tfs/MyApp.java, line(s) 171,172 r/s0.java, line(s) 14
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: r/b.java, line(s) 9,10,286 r/d.java, line(s) 5,6,51 r/f.java, line(s) 4,46
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: app/tfs/fragment/a.java, line(s) 235
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: F/g.java, line(s) 47
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "com.google.firebase.crashlytics.mapping_file_id" : "95bfa0e15d6f48aaab1ab8d2d538a05c" "google_api_key" : "AIzaSyDtyCPZ5MAPdM_IwTbYDQxCYE9GIuHS7Fs" "google_app_id" : "1:339171818983:android:b1f82392af46d07adc9142" "google_crash_reporting_api_key" : "AIzaSyDtyCPZ5MAPdM_IwTbYDQxCYE9GIuHS7Fs" "password" : "Password"
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: B0/AbstractC0152k.java, line(s) 154,178,146,174,156,180,161,182,150,176 B0/AbstractC0922k.java, line(s) 163,187,155,183,165,189,170,191,159,185 H0/AbstractC0247b.java, line(s) 21,27,49,79,85,91,97 H0/AbstractC1156b.java, line(s) 25,31,53,83,89,95,101 H0/C0248c.java, line(s) 15,21,27,33,39 H0/C1157c.java, line(s) 16,22,28,34,40 I/f.java, line(s) 15,41,30 P/j.java, line(s) 329,331 Y/C0116a.java, line(s) 249 Y/C0184a.java, line(s) 282 c0/C0156a.java, line(s) 201 c0/C0927a.java, line(s) 224 com/rustybrick/widget/RecyclerViewCards.java, line(s) 35
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: B0/AbstractC0155n.java, line(s) 4,47 B0/AbstractC0925n.java, line(s) 4,48
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: s/e.java, line(s) 119,119
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/339171818983/namespaces/firebase:fetch?key=AIzaSyDtyCPZ5MAPdM_IwTbYDQxCYE9GIuHS7Fs ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
24Six v66.1.24
Android APK
58
综合安全评分
中风险