应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
PPTM File Viewer - PPTM TO PDF v10
49
安全评分
安全基线评分
49/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
3
高危
22
中危
1
信息
2
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
3
中危安全漏洞
22
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: anywheresoftware/b4a/objects/WebViewWrapper.java, line(s) 71,10,11 com/startapp/k9.java, line(s) 574,24 com/startapp/sdk/ads/splash/SplashHtml.java, line(s) 86,7,8 com/startapp/sdk/ads/splash/g.java, line(s) 106,8
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/basusingh/beautifulprogressdialog/BuildConfig.java, line(s) 3,5 com/github/barteksc/pdfviewer/BuildConfig.java, line(s) 3,6 com/iigo/library/BuildConfig.java, line(s) 3,5 com/moos/navigation/BuildConfig.java, line(s) 3,5 com/th74/progressbar/BuildConfig.java, line(s) 3,5 com/vimalcvs/materialrating/BuildConfig.java, line(s) 3,5 com/zhl/cbdialog/BuildConfig.java, line(s) 3,5
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: anywheresoftware/b4a/object/B4XEncryption.java, line(s) 28,43
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.startapp.sdk.adsbase.remoteconfig.BootCompleteListener) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (.act_pdfviewerinapp) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (.hu_savezipimages) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (.hu_savezipimages$hu_savezipimages_BR) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (.save_pdffrom) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (.save_pdffrom$save_pdffrom_BR) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (.starter) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (.starter$starter_BR) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (.httputils2service) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: anywheresoftware/b4a/keywords/Common.java, line(s) 49 com/fasterxml/uuid/EthernetAddress.java, line(s) 8 com/fasterxml/uuid/Generators.java, line(s) 11 com/fasterxml/uuid/UUIDTimer.java, line(s) 5 com/fasterxml/uuid/impl/RandomBasedGenerator.java, line(s) 6 com/fasterxml/uuid/impl/TimeBasedEpochGenerator.java, line(s) 5 com/hjq/permissions/PermissionFragment.java, line(s) 13 com/startapp/k9.java, line(s) 56 com/startapp/sdk/ads/banner/BannerBase.java, line(s) 32 com/startapp/sdk/adsbase/cache/d.java, line(s) 22 com/startapp/sdk/adsbase/cache/h.java, line(s) 28
中危安全漏洞 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/startapp/u6.java, line(s) 4,4,4,4,4,4 com/startapp/v6.java, line(s) 53,53,53,53,53
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: anywheresoftware/b4a/object/B4XEncryption.java, line(s) 27,42 com/fasterxml/uuid/Generators.java, line(s) 37
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/afollestad/materialdialogs/BuildConfig.java, line(s) 9 com/afollestad/materialdialogs/commons/BuildConfig.java, line(s) 9 com/startapp/c2.java, line(s) 134 com/startapp/wa.java, line(s) 47
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: anywheresoftware/b4a/objects/streams/File.java, line(s) 56,60,121,125 com/afollestad/materialdialogs/folderselector/FileChooserDialog.java, line(s) 166,221 com/afollestad/materialdialogs/folderselector/FolderChooserDialog.java, line(s) 159,212 com/startapp/c2.java, line(s) 42
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/startapp/d4.java, line(s) 282,272 com/startapp/sdk/ads/banner/bannerstandard/BannerStandard.java, line(s) 508,1012 com/startapp/sdk/ads/splash/SplashHtml.java, line(s) 81,77
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/startapp/sdk/ads/splash/SplashHtml.java, line(s) 78,77
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: anywheresoftware/b4h/okhttp/OkHttpClientWrapper.java, line(s) 240 com/download/library/DownloadTask.java, line(s) 458 com/download/library/Downloader.java, line(s) 436,442,539,543 com/download/library/Runtime.java, line(s) 322,340 com/startapp/sdk/ads/video/e.java, line(s) 52
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: anywheresoftware/b4a/sql/SQL.java, line(s) 6,7,144,153 com/startapp/l3.java, line(s) 7,102 com/startapp/x5.java, line(s) 7,47,48,49
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: anywheresoftware/b4a/objects/ServiceHelper.java, line(s) 26 com/hjq/permissions/StartActivityManager.java, line(s) 9 com/vimalcvs/materialrating/MaterialFeedback.java, line(s) 17 com/vimalcvs/materialrating/MaterialRating.java, line(s) 21
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 6ba7b810-9dad-11d1-80b4-00c04fd430c8 AAE6uI9PpedRyeCpYx8hpLv9fS9e8GHhdjQ/sendMessage 3A757365722F72656C656173652D6B657973 0123456789abcdefABCDEF 6ba7b812-9dad-11d1-80b4-00c04fd430c8 6ba7b814-9dad-11d1-80b4-00c04fd430c8 com/Vo9wbFH89BbDbWFhUezQZOGPKmfkJSAtIbVWk3QxPbvJwcR8I79EVuI0aB41a 2F73797374656D2F6C69622F6C69627265666572656E63652D72696C2E736F 6ba7b811-9dad-11d1-80b4-00c04fd430c8
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: anywheresoftware/b4a/BA.java, line(s) 780,277,336,359 anywheresoftware/b4a/DynamicBuilder.java, line(s) 17,20 anywheresoftware/b4a/Msgbox.java, line(s) 186,175 anywheresoftware/b4a/keywords/Common.java, line(s) 158 com/afollestad/materialdialogs/MaterialDialog.java, line(s) 582 com/aghajari/retrofitglide/OkHttpStreamFetcher.java, line(s) 48,47 com/basusingh/beautifulprogressdialog/BeautifulProgressDialog.java, line(s) 205 com/download/library/DownloadSubmitterImpl.java, line(s) 43 com/download/library/Runtime.java, line(s) 316,284,289 com/fasterxml/uuid/Jug.java, line(s) 32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54 com/fasterxml/uuid/impl/LoggerFacade.java, line(s) 58 com/github/barteksc/pdfviewer/PDFView.java, line(s) 285,525,679 com/github/barteksc/pdfviewer/RenderingHandler.java, line(s) 74 com/github/barteksc/pdfviewer/link/DefaultLinkHandler.java, line(s) 37 com/moos/navigation/BottomTabView.java, line(s) 173 com/shockwave/pdfium/PdfiumCore.java, line(s) 110,85,228,232,248,252 com/startapp/rb.java, line(s) 37 com/startapp/sdk/ads/splash/SplashConfig.java, line(s) 443,446 com/startapp/sdk/ads/video/VideoMode.java, line(s) 925 com/startapp/sdk/adsbase/StartAppSDKInternal.java, line(s) 413,180 com/startapp/w8.java, line(s) 145,150,235,246,270 com/startapp/xb.java, line(s) 7 com/startapp/z4.java, line(s) 33,35,39,43,47,51 com/zhl/cbdialog/jumpbens/JumpingBeansSpan.java, line(s) 81 me/zhanghai/android/materialprogressbar/HorizontalProgressDrawable.java, line(s) 78 me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 346,356 net/frakbot/jumpingbeans/JumpingBeansSpan.java, line(s) 81
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: anywheresoftware/b4h/okhttp/OkHttpClientWrapper.java, line(s) 72,68,71,70,70
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/startapp/v6.java, line(s) 78,38,42,95,46,95,95,95,95,95
综合安全基线评分总结
PPTM File Viewer - PPTM TO PDF v10
Android APK
49
综合安全评分
中风险