应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
51动漫 v3.7.1
51
安全评分
安全基线评分
51/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
20
中危
2
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
20
安全提示信息
2
已通过安全项
2
重点安全关注
2
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c/h/a/k/c.java, line(s) 17 c/h/a/m/s.java, line(s) 16,32
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.XiaoHongShuAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.XiGuaAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.WechatAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.TouTiaoAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.KuaiShouAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.DouYinAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.BaiduAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.AiQiYiAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.idm.wydm.DefaultAliasActivity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 IP地址泄露
IP地址泄露 Files: c/d/a/g.java, line(s) 131,135,141,150 c/n/a/e/c.java, line(s) 143 g/c/a/a/b.java, line(s) 50
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: c/d/a/q.java, line(s) 12,29 c/h/a/b.java, line(s) 37 c/h/a/m/j1.java, line(s) 67,67,122 c/h/a/m/k0.java, line(s) 37 c/h/a/m/v.java, line(s) 25,97 c/k/b/g/e.java, line(s) 168 c/l/a/b.java, line(s) 31 com/idm/wydm/glide/GlideAppModule.java, line(s) 41 com/lzy/okgo/convert/FileConvert.java, line(s) 37,59 com/yalantis/ucrop/util/FileUtils.java, line(s) 139
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: c/b/a/n/h.java, line(s) 82 c/b/a/n/o/d.java, line(s) 38 c/b/a/n/o/p.java, line(s) 95 c/b/a/n/o/w.java, line(s) 78 c/l/a/e.java, line(s) 52,13,29 com/hjq/permissions/StartActivityManager.java, line(s) 11 com/lzy/okgo/cache/CacheEntity.java, line(s) 13,85 com/lzy/okgo/exception/CacheException.java, line(s) 15,11
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c/d/a/n.java, line(s) 40 c/h/a/k/c.java, line(s) 29 c/h/a/m/j1.java, line(s) 112 c/h/a/m/s0.java, line(s) 11 c/h/a/m/w.java, line(s) 13
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: c/d/a/t/a.java, line(s) 6,7,53 c/l/a/h/c.java, line(s) 4,5,27,38 c/l/a/h/d.java, line(s) 4,11,39 com/lzy/okgo/db/DBHelper.java, line(s) 4,5,44,45,46,47,58,61,64,67 com/lzy/okgo/db/DBUtils.java, line(s) 4,16,45,73
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/hjq/permissions/PermissionFragment.java, line(s) 18
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/idm/wydm/activity/WebViewActivity.java, line(s) 154,145 com/idm/wydm/fragment/WebViewFragment.java, line(s) 160,151
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c/h/a/k/c.java, line(s) 28
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" iwaV5AkixTNGbnmkrMrqktcb2r6t7HFN8fd1Qmpa3EWb3jHbzIlGWTjzgU3sqLqN 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: c/b/a/c.java, line(s) 223,232,179,222,229,180 c/b/a/k/a.java, line(s) 298 c/b/a/l/d.java, line(s) 103,133,102,132 c/b/a/l/e.java, line(s) 68,89,107,67,88,106 c/b/a/m/a/b.java, line(s) 84,83 c/b/a/n/n/b.java, line(s) 48,47 c/b/a/n/n/j.java, line(s) 86,107,85,106,110,116,123,120,124 c/b/a/n/n/l.java, line(s) 49,48 c/b/a/n/n/o/c.java, line(s) 104,103 c/b/a/n/n/o/e.java, line(s) 61,60 c/b/a/n/o/a0/e.java, line(s) 35,41,69,79,36,70,42,82 c/b/a/n/o/a0/i.java, line(s) 117,101 c/b/a/n/o/b0/a.java, line(s) 133,130 c/b/a/n/o/b0/b.java, line(s) 39,38 c/b/a/n/o/h.java, line(s) 512,331,345,511,456 c/b/a/n/o/i.java, line(s) 59,60 c/b/a/n/o/k.java, line(s) 18,165 c/b/a/n/o/y.java, line(s) 109,110 c/b/a/n/o/z/j.java, line(s) 135,176,136,177 c/b/a/n/o/z/k.java, line(s) 107,119,194,229,106,118,139,146,174,193,203,218,228,140,147,180,204,219 c/b/a/n/p/c.java, line(s) 17,16 c/b/a/n/p/d.java, line(s) 41,40 c/b/a/n/p/f.java, line(s) 103,102 c/b/a/n/p/s.java, line(s) 113,116 c/b/a/n/p/t.java, line(s) 38,37 c/b/a/n/q/a.java, line(s) 81,82 c/b/a/n/q/d/a0.java, line(s) 132,137,149,158,165,133,138,150,159,166,167,168,172 c/b/a/n/q/d/c0.java, line(s) 179,176 c/b/a/n/q/d/d.java, line(s) 16,17 c/b/a/n/q/d/m.java, line(s) 94,313,93,176,312,396,420,177,244,397 c/b/a/n/q/d/n.java, line(s) 44,50,45,51 c/b/a/n/q/d/r.java, line(s) 83,84 c/b/a/n/q/h/a.java, line(s) 73,94,99,104,74,95,100,105 c/b/a/n/q/h/c.java, line(s) 24,25 c/b/a/n/q/h/i.java, line(s) 42,45 c/b/a/o/e.java, line(s) 35,34,58,79,59,80 c/b/a/o/f.java, line(s) 15,14 c/b/a/o/k.java, line(s) 193,194,205 c/b/a/o/m.java, line(s) 94,95 c/b/a/p/e.java, line(s) 50,57,68,73,49,56,61,67,72,62 c/b/a/r/j.java, line(s) 561,19,492,518 c/b/a/r/l/d.java, line(s) 61,141,142,62 c/b/a/r/l/j.java, line(s) 62,142,143,63 c/b/a/t/k/a.java, line(s) 57,58 c/d/a/f.java, line(s) 14,20,30,41,52 c/e/b/a/a/c/d.java, line(s) 161 c/h/a/i/d.java, line(s) 101 c/h/a/m/b0.java, line(s) 176 c/h/a/m/e1.java, line(s) 54,57 c/h/a/m/i1.java, line(s) 23 c/h/a/m/u.java, line(s) 64 c/i/b/r/b.java, line(s) 13,20,44,51 c/l/a/c.java, line(s) 336 c/l/a/i/a.java, line(s) 31,35 c/l/a/k/b.java, line(s) 14,24 com/idm/wydm/activity/LocalPlayActivityNew.java, line(s) 188 com/idm/wydm/player/local/NormalVideoPlayer.java, line(s) 214,222 com/idm/wydm/view/skeleton/ViewReplacer.java, line(s) 33 com/idm/wydm/view/skeleton/ViewSkeletonScreen.java, line(s) 109 com/lxj/xpopup/util/XPermission.java, line(s) 109 com/lxj/xpopup/widget/SmartDivider.java, line(s) 27 com/lzy/okgo/utils/OkLogger.java, line(s) 15,34,44,61,71 com/makeramen/roundedimageview/RoundedDrawable.java, line(s) 147 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 216,234 com/yalantis/ucrop/UCropActivity.java, line(s) 598 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 91,104,183,145 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 65,115,121,128,165,168 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 58,146,180,182,206 com/yalantis/ucrop/util/EglUtils.java, line(s) 75 com/yalantis/ucrop/util/FileUtils.java, line(s) 147 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 131,144,151,158,168,179,186,193,204,254,264,276,290,306,316,319,322,325,328,342,347,360,365,253,263,275,289,305,315,318,321,324,327,341,346,359,364 com/yalantis/ucrop/view/TransformImageView.java, line(s) 187,242,111,281 eightbitlab/com/blurview/BlurView.java, line(s) 79 g/a/a/f.java, line(s) 16,21
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: c/h/a/m/t1.java, line(s) 4,23 c/h/a/m/x.java, line(s) 4,11 com/idm/wydm/activity/AccountGetBackActivity.java, line(s) 4,197 com/idm/wydm/activity/MyAgentActivity.java, line(s) 5,205 com/idm/wydm/activity/MyQRCodeActivity.java, line(s) 5,108 com/idm/wydm/activity/WebViewActivity.java, line(s) 4,175 com/idm/wydm/fragment/WebViewFragment.java, line(s) 4,202
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: c/d/a/i.java, line(s) 141,138,143 c/l/a/g.java, line(s) 124,73,90,123,111,122,122 com/lzy/okgo/https/HttpsUtils.java, line(s) 137,86,103,136,124,135,135
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (gitee.com) 通信。
{'ip': '180.76.198.77', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wvseee.jsbacjr.com) 通信。
{'ip': '180.76.198.77', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
综合安全基线评分总结
51动漫 v3.7.1
Android APK
51
综合安全评分
中风险