应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Mitra Bukalapak v2.55.0
44
安全评分
安全基线评分
44/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
16
中危
3
信息
0
安全
隐私风险评估
5
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
16
安全提示信息
3
已通过安全项
0
重点安全关注
0
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/braze/ui/inappmessage/views/InAppMessageHtmlBaseView.java, line(s) 274,17
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 Activity (com.bukalapak.mitra.activity.EspressoActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.bukalapak.mitra.feature.otp.receiver.SmsRetrieverBroadcastReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.bukalapak.mitra.feature.deeplink.DeeplinkActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.braze.push.NotificationTrampolineActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: bo/app/r20.java, line(s) 5 com/braze/support/IntentUtils.java, line(s) 19 com/bukalapak/android/lib/api4/v2/ApiCallback.java, line(s) 34 com/bukalapak/mitra/notification/WholesaleFirebaseMessagingService.java, line(s) 42
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/bukalapak/android/lib/bazaar/bukalapak/component/pattern/camera/base/BaseCameraScreen.java, line(s) 1208 com/bukalapak/android/lib/browser/BrowserView.java, line(s) 65 com/bukalapak/mitra/vp/flight/VpFlightEticketScreen.java, line(s) 1906
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/braze/configuration/BrazeConfig.java, line(s) 498,498 com/bukalapak/android/lib/neo/lib/model/NeoVariable.java, line(s) 84 com/bukalapak/mitra/apiv4/data/AgentWholesale.java, line(s) 160 com/bukalapak/mitra/apiv4/data/User.java, line(s) 35 com/bukalapak/mitra/apiv4/data/WholesaleUser.java, line(s) 86 com/bukalapak/mitra/feature/account/screen/authentication/SuccessVerifyOTP.java, line(s) 45 com/bukalapak/mitra/feature/account/screen/authentication/d.java, line(s) 237,295 com/bukalapak/mitra/lib/schema/home/AgenLiteAccountClick.java, line(s) 37
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/braze/support/StringUtils.java, line(s) 55
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/d.java, line(s) 172
中危安全漏洞 Firebase远程配置已启用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/1024277213961/namespaces/firebase:fetch?key=AIzaSyDgWIU-L1F0jB4_pLswBJqDPKyRRO0vES0 ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示:
{
"entries": {
"experiment_home_callout": "control",
"suatu_boolean": "true",
"suatu_json": "{ \"suatu\": 123, \"list\" : [ \"a\", \"b\"] }",
"suatu_number": "123"
},
"state": "UPDATE",
"templateVersion": "18"
}
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.google.android.geo.API_KEY" : "AIzaSyCRDkX8QxN1O5y4nZwEYji3R8BGpB6PZvw" AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-1133798130361208~4145482734" "account_register_password" : "Password" "com.google.firebase.crashlytics.mapping_file_id" : "4ac634dcd0d34096a99bfee57d159b84" "com_braze_image_is_read_tag_key" : "com_appboy_image_is_read_tag_key" "com_braze_image_lru_cache_image_url_key" : "com_braze_image_lru_cache_image_url_key" "com_braze_image_resize_tag_key" : "com_appboy_image_resize_tag_key" "firebase_database_url" : "https://mitra-bukalapak-7007e.firebaseio.com" "google_api_key" : "AIzaSyDgWIU-L1F0jB4_pLswBJqDPKyRRO0vES0" "google_app_id" : "1:1024277213961:android:ee232975f3b7a641" "google_crash_reporting_api_key" : "AIzaSyDgWIU-L1F0jB4_pLswBJqDPKyRRO0vES0" "grocery_home_search_revamp_remove_keyword_dialog_cancel" : "Kembali" "library_fastadapter_authorWebsite" : "http://mikepenz.com/" "library_itemanimators_authorWebsite" : "http://mikepenz.com/" "library_zxingandroidembedded_author" : "JourneyApps" "library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/" "receipt_token_title" : "Stroom/Token" edcec1a0b2f45df899d9db8538c1ad06 8edbf554d80a47cab09168890d237f3f fe0c8a638a69c17a21fdce7e0cf70d52 a06c98bc91a4f862da17887217762891 f7511b93b90e7f0b18fdf22072a6f990 6cc297045393572958ab5241c587b4d6 2LHYpyDYp9mG2KrYrtin2Kgg2qnZhtuM2K8g24zaqSDZgdin24zZhA== 05e02d56c2afe5f5c08d4e50e9932dd9 8ef542c74de8e07e6f20fa1a48f8852e 7743f0881f497bcece31bd2db25702b2 2KfbjNqpINmB2KfYptmEINmF24zauiDYs9uSINin2YbYqtiu2KfYqCDaqdix24zaug== edcf35fcbcef36470ab9dbc43f66d096 75b59faad2f429f8588e5833e51a233d 596b8011c3cff94502624905e741c26b 6336f92cc16681ac95f7095e73cb0a76 ddbc68e6442d94920b39a2527b1f6609 651dac844101db112a329027fd65acbd 37a6259cc0c1dae299a7866489dff0bd f666361c8b72d6512fb6b801c265fe2b 92c7abc7b0baaae66f9c0bbfa244fbe2 e7bcfdd00d9f4c86240ea78f0dbb5810 7ZWY64KY7J2YIO2MjOydvOydhCDshKDtg50=
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/braze/support/BrazeLogger.java, line(s) 271,274 com/bukalapak/mitra/activity/HomeActivity.java, line(s) 874 com/bukalapak/mitra/feature/home/screen/HomeFragment.java, line(s) 1933,2017 com/journeyapps/barcodescanner/CameraPreview.java, line(s) 261 com/miui/referrer/commons/LogUtils.java, line(s) 27,33 uk/co/senab/photoview/c.java, line(s) 51
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: bo/app/as.java, line(s) 37 bo/app/cx.java, line(s) 62,65,68 bo/app/d60.java, line(s) 17,17 bo/app/dq.java, line(s) 54,57,54,57 bo/app/i80.java, line(s) 20,20 bo/app/iu.java, line(s) 21 bo/app/kc0.java, line(s) 37,37 bo/app/lq.java, line(s) 31,31 bo/app/mq.java, line(s) 13,13 bo/app/mt.java, line(s) 14,14 bo/app/nf0.java, line(s) 101,104 bo/app/pc.java, line(s) 39,42 bo/app/q.java, line(s) 33,33 bo/app/se0.java, line(s) 22 bo/app/t50.java, line(s) 21,21 bo/app/tx.java, line(s) 45,45 bo/app/vd0.java, line(s) 80 bo/app/z30.java, line(s) 17,17 com/braze/configuration/RuntimeAppConfigurationProvider.java, line(s) 31,31 com/braze/managers/BrazeGeofenceManager.java, line(s) 193 com/bukalapak/mitra/activity/EspressoActivity.java, line(s) 31
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://mitra-bukalapak-7007e.firebaseio.com 的 Firebase 数据库进行通信
综合安全基线评分总结
Mitra Bukalapak v2.55.0
Android APK
44
综合安全评分
中风险