应用安全检测报告

应用安全检测报告，支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

Facebook破解 v1.0

Android APK 31b0ea0f...

安全评分

安全基线评分

53/100

低风险

综合风险等级

风险等级评定

应用存在一定安全风险，建议优化

漏洞与安全项分布

2 高危

9 中危

1 信息

2 安全

隐私风险评估

第三方跟踪器

隐私安全
未检测到第三方跟踪器

检测结果分布

高危安全漏洞 2

中危安全漏洞 9

安全提示信息 1

已通过安全项 2

重点安全关注 0

高危安全漏洞如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击

CODE

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/reactnativecommunity/webview/k.java, line(s) 439,16

高危安全漏洞应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

CODE

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
c1/a.java, line(s) 60

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

CODE

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/reactnativecommunity/asyncstorage/j.java, line(s) 5,6,7,64
r0/c.java, line(s) 6,7,24
r0/d.java, line(s) 6,53
t0/f.java, line(s) 6,25,64
t0/l.java, line(s) 6,7,103,117

中危安全漏洞应用程序使用不安全的随机数生成器

CODE

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
m1/y0.java, line(s) 4
nb/d.java, line(s) 10
nb/h.java, line(s) 5
oa/a.java, line(s) 3
oa/b.java, line(s) 3
pa/a.java, line(s) 3
t0/t.java, line(s) 12
x0/v1.java, line(s) 6
z0/b.java, line(s) 12
za/b0.java, line(s) 10

中危安全漏洞 IP地址泄露

CODE

IP地址泄露


Files:
i1/c.java, line(s) 9
v7/a.java, line(s) 52,52

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
b5/a.java, line(s) 52
r4/a.java, line(s) 350

中危安全漏洞应用程序创建临时文件。敏感信息永远不应该被写进临时文件

CODE

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
r4/a.java, line(s) 137

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
q0/b.java, line(s) 93
r3/g.java, line(s) 79
t3/d.java, line(s) 37
t3/p.java, line(s) 95
t3/x.java, line(s) 84

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
e5/c.java, line(s) 13

中危安全漏洞此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
258EAFA5-E914-47DA-95CA-C5AB0DC85B11
16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
edef8ba9-79d6-4ace-a3c8-27dcd51d21ed

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a0/c.java, line(s) 148
a4/e.java, line(s) 15,16
a4/g0.java, line(s) 113,118,130,139,146,114,119,131,140,147,148,149,153
a4/j0.java, line(s) 197,194
a4/m.java, line(s) 174,181,272,282,294,307,325,341,351,360,373,378,173,180,271,281,293,306,324,334,339,343,349,353,372,377
a4/t.java, line(s) 108,107,180,204,181,275
a4/u.java, line(s) 44,50,45,51
a4/y.java, line(s) 85,118,124,130,136,142,149,155,163,119,125,131,137,143,150,156,164,86
ab/e.java, line(s) 451
com/reactnativecommunity/asyncstorage/g.java, line(s) 118,124,134,139,141
com/reactnativecommunity/webview/g.java, line(s) 145,131,147
com/reactnativecommunity/webview/k.java, line(s) 208,221
com/reactnativecommunity/webview/m.java, line(s) 378,383,425,430,277,286,499
com/swmansion/rnscreens/ScreenStackHeaderConfigViewManager.java, line(s) 27
com/th3rdwave/safeareacontext/l.java, line(s) 121
e3/a.java, line(s) 75
e4/a.java, line(s) 87,92,97,106,88,93,98,107
e4/d.java, line(s) 21,22
e4/j.java, line(s) 39,42
e9/d.java, line(s) 160,193
f0/b.java, line(s) 379,860,993,996,1005,1011,1076,1112,1191,1242,1327,1370,1432,1445,1499,1570,1608,1673,1842,127,818,910,1156,1170,1628,1871
f3/m0.java, line(s) 33,74
f9/b.java, line(s) 62
g4/e.java, line(s) 35,34,57,89,58,90
g4/f.java, line(s) 12,11
g4/o.java, line(s) 147,148
g4/p.java, line(s) 217,218,229
g4/r.java, line(s) 92,93
g4/s.java, line(s) 185,192,186,193
g6/d.java, line(s) 13
h4/d.java, line(s) 45,52,63,68,44,51,56,62,67,57
h9/g.java, line(s) 435
j1/l.java, line(s) 49
j4/h.java, line(s) 113,16,231,263
k4/d.java, line(s) 53,94,95,54
k4/k.java, line(s) 56,97,98,57
kb/e.java, line(s) 49,49,64
l0/a.java, line(s) 24
m/b.java, line(s) 77,99
m3/a.java, line(s) 21,29,53
m4/a.java, line(s) 20
o3/b.java, line(s) 393
o4/a.java, line(s) 72,73
p0/u.java, line(s) 38,33,43,28
p3/d.java, line(s) 76,103,75,102
p3/e.java, line(s) 539,560,578,538,559,577
q3/a.java, line(s) 61,60
q5/f.java, line(s) 13
q8/h.java, line(s) 51
s3/c.java, line(s) 112,111
s3/e.java, line(s) 72,71
t3/h.java, line(s) 599,284,299,598,391
t3/i.java, line(s) 51,52
t3/k.java, line(s) 14,214
t3/q.java, line(s) 165
t3/z.java, line(s) 61,62
u1/g.java, line(s) 83,89,95,101,115
u3/i.java, line(s) 110,150,111,151
u3/k.java, line(s) 113,153,163,175,80,112,122,142,152,162,174,195,202,86,123,196,203,143
v3/e.java, line(s) 48,54,82,92,106,49,83,55,95,107
v3/i.java, line(s) 122,106
w/f.java, line(s) 135
w3/a.java, line(s) 139,136
x3/c.java, line(s) 16,15
x3/d.java, line(s) 44,43
x3/f.java, line(s) 108,107
x3/s.java, line(s) 98,101
x3/t.java, line(s) 35,34
z3/l.java, line(s) 73,74

已通过安全项此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

CODE

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
jb/f.java, line(s) 111,110,109
jb/g.java, line(s) 131,121,130,143,129,129
jb/l.java, line(s) 112,111,110,110
jb/m.java, line(s) 231,219,230,229,229

已通过安全项此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

Facebook破解 v1.0

Android APK

综合安全评分

中风险

导航菜单

应用安全检测报告

移动应用安全检测报告

Facebook破解 v1.0

安全基线评分

53/100

综合风险等级

风险等级评定

漏洞与安全项分布

隐私风险评估

第三方跟踪器

检测结果分布

高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击

高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危安全漏洞 应用程序使用不安全的随机数生成器

中危安全漏洞 IP地址泄露

中危安全漏洞 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危安全漏洞 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

中危安全漏洞 此应用可能包含硬编码机密信息

安全提示信息 应用程序记录日志信息,不得记录敏感信息

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

已通过安全项 此应用程序没有隐私跟踪程序

综合安全基线评分总结

Facebook破解 v1.0

高危安全漏洞如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击

高危安全漏洞应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

中危安全漏洞应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危安全漏洞应用程序使用不安全的随机数生成器

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息

已通过安全项此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

已通过安全项此应用程序没有隐私跟踪程序