应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
AndaliCash v1.0.0.0.1
49
安全评分
安全基线评分
49/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
3
高危
11
中危
2
信息
2
安全
隐私风险评估
1
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
3
中危安全漏洞
11
安全提示信息
2
已通过安全项
2
重点安全关注
1
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/cash/lemoloan/statisticlib/Utils/AesCipherHelper.java, line(s) 21,42
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: icedfcec/dgdeidbd/ddcacdae/dafbfief/MainActivity.java, line(s) 1100,26,27
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: icedfcec/dgdeidbd/ddcacdae/dafbfief/MainActivity.java, line(s) 1041,1363,26,27
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Activity (icedfcec.dgdeidbd.ddcacdae.dafbfief.MainActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: a/a/a/a.java, line(s) 48
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/cash/lemoloan/statisticlib/StatisticContant.java, line(s) 74 com/cash/lemoloan/statisticlib/Utils/AesCipherHelper.java, line(s) 13
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/cash/lemoloan/statisticlib/StatisticContant.java, line(s) 68,68 icedfcec/dgdeidbd/ddcacdae/dafbfief/Utils/DownLoadUtil.java, line(s) 116
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b/q/f.java, line(s) 339
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b/q/f.java, line(s) 274
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: b/a/e/d.java, line(s) 9
中危安全漏洞 IP地址泄露
IP地址泄露 Files: icedfcec/dgdeidbd/ddcacdae/dafbfief/BuildConfig.java, line(s) 9
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1 FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901 FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212 13a789c2dd194cfdbb66c8ccf999ad94
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/a/a/a.java, line(s) 396,488,51,72,164,211,215,235,257,315,348,362,366,376,42,204,219,245,261,274,354,370,380,392,402,415,445 b/a/e/d.java, line(s) 116,120 b/b/d/a/a.java, line(s) 75 b/b/g/c.java, line(s) 132,167,179,189,348 b/b/h/c0.java, line(s) 333,162,167,174,236,316 b/b/h/e0.java, line(s) 109 b/b/h/f0.java, line(s) 47,62,86,105,344 b/b/h/i.java, line(s) 191 b/b/h/j.java, line(s) 176 b/b/h/j0.java, line(s) 84,107,207,221 b/b/h/k0.java, line(s) 31 b/b/h/o.java, line(s) 27 b/b/h/r0.java, line(s) 95,161 b/b/h/t.java, line(s) 91,100,172 b/b/h/u0.java, line(s) 22 b/f/b/d.java, line(s) 243 b/f/c/b.java, line(s) 77,102,114 b/f/c/c.java, line(s) 97,156 b/f/c/d.java, line(s) 691,1104,1111,1112,1117,1123,1695,1175,721,1025,1748 b/h/b/b.java, line(s) 615,280,290,315,324,760,769,786,795,866 b/h/c/b/h.java, line(s) 23 b/h/d/c.java, line(s) 48,53 b/h/d/d.java, line(s) 41 b/h/d/e.java, line(s) 57 b/h/d/f.java, line(s) 45 b/h/d/g.java, line(s) 52,219 b/h/d/l/d.java, line(s) 44,67 b/h/f/f.java, line(s) 23 b/h/j/b.java, line(s) 49 b/h/j/b0/c.java, line(s) 60 b/h/j/g.java, line(s) 31,44,83,155,198,216,239 b/h/j/o.java, line(s) 459,402,458,354 b/h/j/u.java, line(s) 20,31 b/h/j/z.java, line(s) 228,248,70,80,91,100,47,238 b/h/k/e.java, line(s) 35,34 b/j/b/e.java, line(s) 310 b/k/b/a.java, line(s) 23,41,54,66 b/k/b/c.java, line(s) 586,645,664,674 b/k/b/c0.java, line(s) 365,800,983,1045,1058,1072,1093,1120,1159,1190,1291,1297,1312,1323,1362,1371,1476,1535,1543,108,138,270 b/k/b/f0.java, line(s) 33,41,47 b/k/b/i0.java, line(s) 111,123,199,349,397,487,514,562,583,608,638,731,806,871,900,103,339,473,673,691,697,742,779 b/k/b/j0.java, line(s) 101,111 b/k/b/l.java, line(s) 265,317 b/k/b/m.java, line(s) 197 b/k/b/x0.java, line(s) 18 b/k/b/y0.java, line(s) 83,160,169,174,182,217,240,259,273,344,402,420 b/q/z.java, line(s) 40,66 b/r/a/a/b.java, line(s) 254 c/b/b.java, line(s) 58,105,103,138,45,34 c/c/a/a/c.java, line(s) 96 c/c/a/b/g.java, line(s) 97,98,105,106 c/e/a/c/a/a/a.java, line(s) 38,55,65,76 c/e/a/c/c/d.java, line(s) 78,133,140 c/e/a/c/c/i.java, line(s) 25 c/e/a/c/c/k/k/b1.java, line(s) 230,319 c/e/a/c/c/k/k/d1.java, line(s) 43 c/e/a/c/c/k/k/f.java, line(s) 321,478 c/e/a/c/c/k/k/g0.java, line(s) 43 c/e/a/c/c/k/k/k0.java, line(s) 271,257,258,263,289,290 c/e/a/c/c/k/k/n0.java, line(s) 38 c/e/a/c/c/k/k/p0.java, line(s) 387,405 c/e/a/c/c/k/k/s.java, line(s) 115,182 c/e/a/c/c/k/k/s0.java, line(s) 27 c/e/a/c/c/k/k/u1.java, line(s) 36,49 c/e/a/c/c/l/b.java, line(s) 222,251,340,344,349,357 c/e/a/c/c/l/b1.java, line(s) 48 c/e/a/c/c/l/d0.java, line(s) 49,69,83 c/e/a/c/c/l/f.java, line(s) 55 c/e/a/c/c/l/t0.java, line(s) 50 c/e/a/c/c/l/x.java, line(s) 84,87,116,119,122,161,166 c/e/a/c/c/l/z.java, line(s) 16 c/e/a/c/c/m/a.java, line(s) 69,80 c/e/a/c/c/p.java, line(s) 32 c/e/a/c/c/w.java, line(s) 61 c/e/a/c/e/d/o.java, line(s) 59 c/e/a/c/g/b/a.java, line(s) 58,73,108,112 c/e/a/d/c/g.java, line(s) 47 c/e/a/d/l/g.java, line(s) 40 c/e/a/d/q/c.java, line(s) 222 c/e/a/d/r/b.java, line(s) 109,144 c/e/a/d/s/a.java, line(s) 21 c/e/a/d/u/g.java, line(s) 266 com/cash/lemoloan/statisticlib/StatisticUploadTask.java, line(s) 347,350,361,368,370 com/cash/lemoloan/statisticlib/Utils/AesCipherHelper.java, line(s) 31 icedfcec/dgdeidbd/ddcacdae/dafbfief/MainActivity.java, line(s) 553,554,565,572,583,596,606,619,623,629,633,641,659,662,667,681,816,823,1149,1492 icedfcec/dgdeidbd/ddcacdae/dafbfief/Utils/DownLoadUtil.java, line(s) 56,63,87,115,130,145,195,244,252,260,265,280,284,312,317,326,334,339,354,358
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: icedfcec/dgdeidbd/ddcacdae/dafbfief/MainActivity.java, line(s) 5,1320
已通过安全项 基本配置配置为禁止到所有域的明文流量。
Scope: *
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: d/u.java, line(s) 246,245,254,244,244
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。
{'ip': '180.163.150.166', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
综合安全基线评分总结
AndaliCash v1.0.0.0.1
Android APK
49
综合安全评分
中风险