应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
絮语 v9.07
49
安全评分
安全基线评分
49/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
3
高危
8
中危
2
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
3
中危安全漏洞
8
安全提示信息
2
已通过安全项
2
重点安全关注
1
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: i/runlibrary/app/v/C0383.java, line(s) 139,6 i/runlibrary/app/v/llq.java, line(s) 136,6
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/example/glidetest/BuildConfig.java, line(s) 3,4 com/vpn/BuildConfig.java, line(s) 3,4
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: i/runlibrary/app/interfaces/onWebViewClient.java, line(s) 30,28
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Service (.NotificationMonitorService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/wuxiaolong/androidutils/library/AbsolutePathUtil.java, line(s) 19 com/wuxiaolong/androidutils/library/BitmapCompressUtil.java, line(s) 64 com/wuxiaolong/androidutils/library/CrashHandlerUtil.java, line(s) 126,127 i/app/FileProvider.java, line(s) 101,56 i/runlibrary/a/d.java, line(s) 90,715,22 i/runlibrary/b/b.java, line(s) 28 i/runlibrary/b/c.java, line(s) 57,36 i/runlibrary/b/i.java, line(s) 23 i/runlibrary/b/n.java, line(s) 713 top/canyie/pine/entry/C0577.java, line(s) 208
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: i/runlibrary/a/r.java, line(s) 6,70,104,104 i/runlibrary/app/C0433.java, line(s) 4,316 i/runlibrary/app/sj.java, line(s) 6,422
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: i/runlibrary/app/v/C0383.java, line(s) 72,55 i/runlibrary/app/v/llq.java, line(s) 77,60
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/kongzue/dialogx/interfaces/OnBindView.java, line(s) 14 i/app/C0307.java, line(s) 13 i/app/Downcenter.java, line(s) 13 i/runlibrary/a/f.java, line(s) 30
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/wuxiaolong/androidutils/library/AppUtils.java, line(s) 35 i/runlibrary/a/s.java, line(s) 63,169
中危安全漏洞 IP地址泄露
IP地址泄露 Files: i/app/C0311.java, line(s) 430 i/app/ServerSocket.java, line(s) 350
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/kongzue/dialogx/DialogX.java, line(s) 75 com/kongzue/dialogx/impl/DialogFragmentImpl.java, line(s) 64 com/kongzue/dialogx/interfaces/BaseDialog.java, line(s) 135,129 com/kongzue/dialogx/util/views/BlurView.java, line(s) 648,642 com/swift/sandhook/ClassNeverCall.java, line(s) 10 com/swift/sandhook/HookLog.java, line(s) 10,14,18,22,26,30 com/swift/sandhook/PendingHookHandler.java, line(s) 49,44 com/swift/sandhook/SandHook.java, line(s) 241 com/swift/sandhook/utils/FileUtils.java, line(s) 68,103 com/swift/sandhook/utils/ReflectionUtils.java, line(s) 23 com/swift/sandhook/utils/Unsafe.java, line(s) 88,28 com/wuxiaolong/androidutils/library/CrashHandlerUtil.java, line(s) 104,64,98,106,139 com/wuxiaolong/androidutils/library/LogUtil.java, line(s) 31,37,66,70,19,25,55,61,43,49 fr/castorflex/android/verticalviewpager/VerticalViewPager.java, line(s) 431,437,1922,462 i/runlibrary/app/gj.java, line(s) 712,711 np/protect/assets/Shell2Application.java, line(s) 72,262,317,478,602 np/protect/assets/p/C0533.java, line(s) 96,684,1094,1621,3422,3557,3856 np/protect/assets/p/C0535.java, line(s) 53,311,510,766,792,879,1179 np/protect/assets/p/a.java, line(s) 64 top/canyie/pine/Pine.java, line(s) 232,299,253,276,358,399 top/zibin/luban/Checker.java, line(s) 70,90,96,121,129 top/zibin/luban/Luban.java, line(s) 80,79
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: i/runlibrary/b/m.java, line(s) 6,189
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: i/runlibrary/a/f.java, line(s) 816,818
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (img03.sogoucdn.com) 通信。
{'ip': '58.216.16.143', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
综合安全基线评分总结
絮语 v9.07
Android APK
49
综合安全评分
中风险