应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
OANDA v1.0.0
53
安全评分
安全基线评分
53/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
9
中危
2
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
9
安全提示信息
2
已通过安全项
2
重点安全关注
0
高危安全漏洞 存在 Janus 漏洞风险
仅使用 v1 签名方案,Android 5.0-8.0 设备易受 Janus 漏洞影响。若同时存在 v1 和 v2/v3 签名,Android 5.0-7.0 设备同样存在风险。
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: IMuAHx_6/QxJ9d_1/IFxWkV_5/QxJ9d_1/KQgRr5e_0.java, line(s) 137,136
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: IMuAHx_6/KQgRr5e_0/KQgRr5e_0/XnFJ5_9/Mqv2r_3/X6FRs_4.java, line(s) 7,8,79,96,121,138,174,195
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: X6FRs_4/KQgRr5e_0/YghfZG_14/XnFJ5_9/FSaI4_7.java, line(s) 28,30
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: IMuAHx_6/Mqv2r_3/KQgRr5e_0/KQgRr5e_0/X6FRs_4/KQgRr5e_0.java, line(s) 8 com/scwang/smartrefresh/header/FunGameBattleCityHeader.java, line(s) 16 com/scwang/smartrefresh/header/TaurusHeader.java, line(s) 23
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: X6FRs_4/IMuAHx_6/X6FRs_4/KQgRr5e_0.java, line(s) 28 com/myapp/app/MainActivity.java, line(s) 908,943,1651 com/myapp/utils/Utils.java, line(s) 394,580
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: IMuAHx_6/KQgRr5e_0/KQgRr5e_0/XnFJ5_9/PGPF6hQ_2.java, line(s) 112
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: IMuAHx_6/QxJ9d_1/IFxWkV_5/QxJ9d_1/KQgRr5e_0.java, line(s) 431,398
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: IMuAHx_6/QxJ9d_1/IFxWkV_5/QxJ9d_1/KQgRr5e_0.java, line(s) 420,398
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_CHANNEL" : "default" 凭证信息=> "GETUI_APP_SECRET" : "IWI8Drf9dnAFYzUZMHn4Y1" 凭证信息=> "GETUI_APP_KEY" : "WP7s4gUZQJ9bIvJvNrvHc8" 凭证信息=> "GETUI_APP_ID" : "7WjVvM8dQS61CBBUnJ9BU5"
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: IMuAHx_6/KQgRr5e_0/KQgRr5e_0/XnFJ5_9/PGPF6hQ_2.java, line(s) 75,88 IMuAHx_6/QxJ9d_1/IFxWkV_5/QxJ9d_1/KQgRr5e_0.java, line(s) 89,105,119,129,143,216 IMuAHx_6/QxJ9d_1/Mqv2r_3/X6FRs_4.java, line(s) 75 IMuAHx_6/QxJ9d_1/QxJ9d_1/KQgRr5e_0.java, line(s) 96,123,149 KNBe_11/KQgRr5e_0/KQgRr5e_0/QxJ9d_1.java, line(s) 64,66 X6FRs_4/EuDEkJe_12/KQgRr5e_0/QxJ9d_1.java, line(s) 114,133,160 X6FRs_4/IMuAHx_6/EuDEkJe_12/IMuAHx_6.java, line(s) 14 X6FRs_4/IMuAHx_6/EuDEkJe_12/NzhupJ_29/Mqv2r_3.java, line(s) 118 X6FRs_4/IMuAHx_6/EuDEkJe_12/QxJ9d_1.java, line(s) 63 X6FRs_4/IMuAHx_6/EuDEkJe_12/RfjZ_21.java, line(s) 20,31 X6FRs_4/IMuAHx_6/EuDEkJe_12/SI64pbG_23.java, line(s) 31,47,68,95,116,131,146 X6FRs_4/IMuAHx_6/EuDEkJe_12/X6FRs_4.java, line(s) 20,29 X6FRs_4/IMuAHx_6/EuDEkJe_12/ZzDuCHW_20.java, line(s) 658 X6FRs_4/IMuAHx_6/IFxWkV_5/FSaI4_7.java, line(s) 79,82 X6FRs_4/IMuAHx_6/IFxWkV_5/IFxWkV_5.java, line(s) 54,73 X6FRs_4/IMuAHx_6/IFxWkV_5/Mqv2r_3.java, line(s) 48 X6FRs_4/IMuAHx_6/IFxWkV_5/QxJ9d_1.java, line(s) 388,393 X6FRs_4/IMuAHx_6/IFxWkV_5/X6FRs_4.java, line(s) 38,51 X6FRs_4/IMuAHx_6/IFxWkV_5/Xgtqvk_8.java, line(s) 119 X6FRs_4/IMuAHx_6/IFxWkV_5/XnFJ5_9/KQgRr5e_0.java, line(s) 81,90,197,207 X6FRs_4/IMuAHx_6/IFxWkV_5/XnFJ5_9/X6FRs_4.java, line(s) 100 X6FRs_4/IMuAHx_6/KNBe_11/QxJ9d_1.java, line(s) 18 X6FRs_4/IMuAHx_6/Mqv2r_3/FSaI4_7.java, line(s) 42,56,60 X6FRs_4/IMuAHx_6/Mqv2r_3/Mqv2r_3.java, line(s) 48 X6FRs_4/IMuAHx_6/Mqv2r_3/Nm6q_10.java, line(s) 67 X6FRs_4/IMuAHx_6/Mqv2r_3/PGPF6hQ_2.java, line(s) 38,47,61,70 X6FRs_4/IMuAHx_6/Nm6q_10/QxJ9d_1.java, line(s) 36,46,48,68,71,83,85 X6FRs_4/IMuAHx_6/WwEq_13/FSaI4_7.java, line(s) 43,52 X6FRs_4/IMuAHx_6/WwEq_13/PGPF6hQ_2.java, line(s) 42,51 X6FRs_4/IMuAHx_6/WwEq_13/Xgtqvk_8.java, line(s) 94,45 X6FRs_4/IMuAHx_6/X6FRs_4/PGPF6hQ_2/IFxWkV_5.java, line(s) 126,144,150 X6FRs_4/IMuAHx_6/X6FRs_4/PGPF6hQ_2/QxJ9d_1.java, line(s) 48 X6FRs_4/JZJr_16/EANXC_30.java, line(s) 20,22,36 X6FRs_4/JZJr_16/Fv6VRig_36.java, line(s) 45,87,101 X6FRs_4/JZJr_16/IFxWkV_5.java, line(s) 51,63,100 X6FRs_4/JZJr_16/JXypC6_34.java, line(s) 131 X6FRs_4/JZJr_16/NzhupJ_29.java, line(s) 59,72,101,110,112 X6FRs_4/JZJr_16/O3zP_37.java, line(s) 25 X6FRs_4/JZJr_16/R6WQ_35.java, line(s) 45,78 X6FRs_4/JZJr_16/Xgtqvk_8.java, line(s) 78 X6FRs_4/KNBe_11/XnFJ5_9.java, line(s) 217 X6FRs_4/KQgRr5e_0/KNBe_11/KQgRr5e_0/KQgRr5e_0.java, line(s) 45 X6FRs_4/KQgRr5e_0/LGe8pk_15/BVpCZyH_19.java, line(s) 112,133 X6FRs_4/KQgRr5e_0/LGe8pk_15/EANXC_30.java, line(s) 168,302 X6FRs_4/KQgRr5e_0/LGe8pk_15/IFxWkV_5.java, line(s) 481,57,91,103,191 X6FRs_4/KQgRr5e_0/LGe8pk_15/KNBe_11.java, line(s) 317,406,420 X6FRs_4/KQgRr5e_0/LGe8pk_15/PGPF6hQ_2.java, line(s) 178,184,189,202,250,255 X6FRs_4/KQgRr5e_0/LGe8pk_15/R6WQ_35.java, line(s) 23,38,52,54,56 X6FRs_4/KQgRr5e_0/LGe8pk_15/SI64pbG_23.java, line(s) 222,418,481,119,133,178,204,241,424,427,462,465 X6FRs_4/KQgRr5e_0/LGe8pk_15/ViqFd_33.java, line(s) 85 X6FRs_4/KQgRr5e_0/LGe8pk_15/WkDTNqU_32.java, line(s) 93 X6FRs_4/KQgRr5e_0/LGe8pk_15/YghfZG_14.java, line(s) 79 X6FRs_4/KQgRr5e_0/Nm6q_10/IMuAHx_6.java, line(s) 47,59,71,80,95,105,121,131,144,158,170 X6FRs_4/KQgRr5e_0/Nm6q_10/XnFJ5_9.java, line(s) 77,58 X6FRs_4/KQgRr5e_0/YghfZG_14/IMuAHx_6.java, line(s) 291,352,395 X6FRs_4/KQgRr5e_0/YghfZG_14/XnFJ5_9/Nm6q_10.java, line(s) 113 X6FRs_4/KQgRr5e_0/YghfZG_14/XnFJ5_9/XnFJ5_9.java, line(s) 154 X6FRs_4/NQvZgp_17/KQgRr5e_0/KQgRr5e_0/Xgtqvk_8.java, line(s) 1039,1042 X6FRs_4/WwEq_13/IMuAHx_6.java, line(s) 40,59 X6FRs_4/X6FRs_4/QxJ9d_1/KQgRr5e_0.java, line(s) 865,877,880 X6FRs_4/Xgtqvk_8/KQgRr5e_0/PGPF6hQ_2.java, line(s) 323 X6FRs_4/XnFJ5_9/KQgRr5e_0/IMuAHx_6.java, line(s) 1151,1152,1160,1168,1794,1797,523,532,619,663,723,733,794,859,867,1336,1845,1855,1864,1938,1997,2006,2014,2055,2142,2171,2180,2263,2273,2288,2298,2304,2665,2676,2687,2703,2738,2784,2818,2844,2080,2801 X6FRs_4/XnFJ5_9/KQgRr5e_0/KQgRr5e_0.java, line(s) 383,392,413,433 com/myapp/app/ADActivity.java, line(s) 73,83,93,97 com/myapp/app/MainActivity.java, line(s) 305,328,333,426,468,471,474,727,871,957,1827,1836,1960,1983,2041,450,642,648,653,830,903,1675,1679,1704,1708,1713,1718,1723,1733,1748,1793,1794,1860,1904,1914,1950,1991,2005,2093,2276,2292,2338,2434 com/myapp/app/SplashActivity.java, line(s) 26,48 com/myapp/utils/JwtUtils.java, line(s) 79,174,180 com/myapp/utils/Utils.java, line(s) 361,381,558,125 com/myapp/wrap/webview/WebViewInjectInterface.java, line(s) 444 com/wang/avi/AVLoadingIndicatorView.java, line(s) 332
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/myapp/utils/Utils.java, line(s) 6,94
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: XnFJ5_9/Fv6VRig_36/X6FRs_4.java, line(s) 525,524,523,523
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
OANDA v1.0.0
Android APK
53
综合安全评分
中风险