中国人保 v6.21.4版本 - 安全评分 _南明离火移动安全分析平台

高危基本配置不安全地配置为允许到所有域的明文流量。

Scope:
*

高危已启用远程WebView调试

CODE

已启用远程WebView调试
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/picc/aasipods/common/view/privicy/PrivacyWebView.java, line(s) 139,16,17
com/picc/aasipods/module/webview/view/MyWebView.java, line(s) 347,25
com/picc/aasipods/module/webview/view/ProgressWebView.java, line(s) 117,13

高危应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

CODE

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/picc/aasipods/common/utils/fingerprint/FingerprintAndroidKeyStore.java, line(s) 54,78
g/j/a/j/c/i.java, line(s) 52
g/n/a/a/a.java, line(s) 519

高危使用弱加密算法

CODE

使用弱加密算法
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
cn/org/bjca/anysign/android/api/core/a/a/i.java, line(s) 32
com/bjca/xinshoushu/utils/EncryptEngine.java, line(s) 28,48
g/i/a/l/c.java, line(s) 12

高危启用了调试配置。生产版本不能是可调试的

CODE

启用了调试配置。生产版本不能是可调试的
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/intsig/vlcardscansdk/BuildConfig.java, line(s) 3,6

高危如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击

CODE

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/adobe/mobile/MessageFullScreen.java, line(s) 74,75,18,19

中危应用程序已启用明文网络流量

MANIFEST

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量，例如明文HTTP，FTP协议，DownloadManager和MediaPlayer。针对API级别27或更低的应用程序，默认值为“true”。针对API级别28或更高的应用程序，默认值为“false”。避免使用明文流量的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听传输的数据，并且可以在不被检测到的情况下修改它。

中危 Activity (com.picc.aasipods.module.person.controller.test.RSAActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.picc.aasipods.module.person.controller.test.SMSCheckActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.sensorsdata.analytics.android.sdk.dialog.SchemeActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.picc.aasipods.module.person.controller.NewTestActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性

MANIFEST

(com.picc.aasipods.module.launch.view.LinkDispatchActivity)
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Activity (com.picc.aasipods.module.launch.view.LinkDispatchActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.picc.aasipods.third.jpush.HsmPushEmptyActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性

MANIFEST

(com.cloudpower.netsale.activity.wxapi.WXEntryActivity)
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Activity (com.cloudpower.netsale.activity.wxapi.WXEntryActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.cloudpower.netsale.activity.wxapi.WXPayEntryActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.picc.aasipods.third.push.VivoPushReceiver) 未被保护。

MANIFEST

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (com.vivo.push.sdk.service.CommandClientService) 受权限保护, 但是应该检查权限的保护级别。

MANIFEST

Permission: com.push.permission.UPSTAGESERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。

MANIFEST

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.picc.aasipods.third.jpush.MiPushMessageReceiver) 未被保护。

MANIFEST

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 受权限保护, 但是应该检查权限的保护级别。

MANIFEST

Permission: com.xiaomi.xmsf.permission.MIPUSH_RECEIVE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity设置了TaskAffinity属性

MANIFEST

(com.squareup.leakcanary.internal.DisplayLeakActivity)
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.darsh.multipleimageselect.activities.AlbumSelectActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.darsh.multipleimageselect.activities.ImageSelectActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
cn/picclife/facelib/model/SearchFaceInfo.java, line(s) 109
cn/picclife/facelib/model/TranseRecord.java, line(s) 123
cn/picclife/facelib/model/VerifyFaceInfo.java, line(s) 168,168
cn/picclife/facelib/netcore/model/Result.java, line(s) 91
cn/picclife/facelib/util/ValueUtil.java, line(s) 7
com/adobe/mobile/AnalyticsTrackBeacon.java, line(s) 9,10,11,12
com/adobe/mobile/AnalyticsTrackCoordinateSpace.java, line(s) 10,11,12
com/adobe/mobile/AnalyticsTrackLifetimeValueIncrease.java, line(s) 12,13,10
com/adobe/mobile/AnalyticsTrackLocation.java, line(s) 11,19,13,14,15,16,17,18,20
com/adobe/mobile/AnalyticsTrackTimedAction.java, line(s) 14,15,240
com/adobe/mobile/AudienceManagerWorker.java, line(s) 32,27,23,24,21,22,34,25,26,28
com/adobe/mobile/Config.java, line(s) 13
com/adobe/mobile/Constants.java, line(s) 10,4,5,7,8,6,106,107,101
com/adobe/mobile/Lifecycle.java, line(s) 25
com/adobe/mobile/MediaAnalytics.java, line(s) 28,11,12,14,15,16,17,18,21,22,23,24,25,26,35,27,33,38,39,40,45,46,47,48,49,37
com/adobe/mobile/MessageMatcher.java, line(s) 8
com/adobe/mobile/Messages.java, line(s) 17
com/adobe/mobile/MobileConfig.java, line(s) 49,50,65,47,51,48,52,53,54,55,56,57,58,59,60,61,62,63,64,66,67,68,69,70,71,72,73,74,75
com/adobe/mobile/ReferrerHandler.java, line(s) 32,33,35,34,36
com/adobe/mobile/RequestBuilder.java, line(s) 13
com/adobe/mobile/StaticMethods.java, line(s) 51,52,63,66,67,54,48
com/adobe/mobile/TargetPreviewManager.java, line(s) 22,18,19
com/adobe/mobile/VisitorIDService.java, line(s) 28,31,30,32,34
com/intsig/ccrengine/bigkey/ISBaseScanActivity.java, line(s) 40
com/intsig/dlcardscansdk/bigkey/AppkeySDK.java, line(s) 91,158
com/intsig/dlcardscansdk/bigkey/ISBaseScanActivity.java, line(s) 50
com/intsig/idcardscan/sdk/key/ISBaseScanActivity.java, line(s) 46
com/intsig/vlcardscansdk/bigkey/AppkeySDK.java, line(s) 77,144
com/intsig/vlcardscansdk/bigkey/ISBaseScanActivity.java, line(s) 49
com/picc/aasipods/common/constant/Gloabals.java, line(s) 76,79,18,160,126,137,156,164
com/picc/aasipods/common/utils/AESUtil.java, line(s) 11
com/picc/aasipods/common/utils/AppParam.java, line(s) 5,6
com/picc/aasipods/common/utils/RSA/encryption/DES3.java, line(s) 12
com/picc/aasipods/common/view/CommonGoBackWebViewActivity.java, line(s) 77
com/picc/aasipods/module/report/controller/VehicleClaimReportActivity.java, line(s) 442
com/picc/aasipods/third/cloudwalk/App.java, line(s) 7,10,8,11
com/picc/aasipods/third/cloudwalk/CwDemoConfig.java, line(s) 10,23,43,11,24
com/picc/aasipods/third/insight/InsightManager.java, line(s) 81,111
com/picc/aasipods/third/kuangshi/SecretKey.java, line(s) 5
com/picc/aasipods/third/zxing/scanner/encode/ParserUriToVCard.java, line(s) 11,12
com/rabbitmq/client/ConnectionFactory.java, line(s) 55
com/rabbitmq/client/ConnectionFactoryConfigurator.java, line(s) 34,38
com/rabbitmq/client/Envelope.java, line(s) 33
com/rabbitmq/client/impl/recovery/RecordedExchangeBinding.java, line(s) 16
com/rabbitmq/client/impl/recovery/RecordedQueueBinding.java, line(s) 16
exocr/bankcard/EXBankCardReco.java, line(s) 167,74,90,57
g/c/a/p/i.java, line(s) 87
g/c/a/p/p/d.java, line(s) 36
g/c/a/p/p/p.java, line(s) 95
g/c/a/p/p/x.java, line(s) 65
g/j/a/j/c/i.java, line(s) 88
g/n/a/a/e/a/c/b.java, line(s) 62

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
cn/org/bjca/anysign/android/api/core/GenUtil.java, line(s) 143
cn/picclife/exocr/PLOCRHelper.java, line(s) 127
com/cwits/cyx_drive_sdk/util/ProcessLeakUtil.java, line(s) 143,152,187,317,143,151,186,310,310,314
com/intsig/ccrengine/CommonUtil.java, line(s) 38
com/intsig/dlcardscansdk/CommonUtil.java, line(s) 17
com/intsig/dlcardscansdk/bigkey/ISBaseScanActivity.java, line(s) 767
com/intsig/vlcardscansdk/CommonUtil.java, line(s) 17
com/intsig/vlcardscansdk/bigkey/ISBaseScanActivity.java, line(s) 699
com/picc/aasipods/common/utils/AppUtil.java, line(s) 130,206,111
com/picc/aasipods/common/utils/BaoziCache.java, line(s) 319
com/picc/aasipods/common/utils/BitmapUtils.java, line(s) 139,143
com/picc/aasipods/common/utils/DataCleanManager.java, line(s) 37,60,67
com/picc/aasipods/common/utils/FileSaveUtil.java, line(s) 111,117
com/picc/aasipods/common/utils/FileUtils.java, line(s) 30,100,55,127,187
com/picc/aasipods/common/utils/ImageGlide.java, line(s) 61
com/picc/aasipods/common/utils/PhotoUtil.java, line(s) 116,171,193,212
com/picc/aasipods/common/utils/StorageUtil.java, line(s) 29,25,29,41
com/picc/aasipods/common/utils/TakePhoto/uitl/TImageFiles.java, line(s) 56
com/picc/aasipods/common/utils/TakePhoto/uitl/TUriParse.java, line(s) 84
com/picc/aasipods/module/home/ThemeActivityImp.java, line(s) 384,571
com/picc/aasipods/module/person/controller/AddcardpicActivity.java, line(s) 984
com/picc/aasipods/third/cloudwalk/ConfigUtils.java, line(s) 17,54
com/picc/aasipods/third/tbs/TbsOpenFileActivity.java, line(s) 304
com/yalantis/ucrop/util/FileUtils.java, line(s) 77
exocr/carddom/DomCardManager.java, line(s) 429
exocr/carddom/FileUtil.java, line(s) 18
exocr/carddom/bankcard/CardScanner.java, line(s) 452,479
exocr/carddom/excard/ExDecodeHandler.java, line(s) 552,557,692
exocr/dom/ModelManager.java, line(s) 174,177
exocr/domUtils/ImageUtils.java, line(s) 19,39,60,77,122
exocr/exocrengine/DictManager.java, line(s) 122
f/a/a/b/d/a/e/b.java, line(s) 196
f/a/a/b/d/a/e/c.java, line(s) 8,10
f/a/a/b/g/d.java, line(s) 45
f/a/a/b/h/b.java, line(s) 196
f/a/a/b/h/c.java, line(s) 16,18
g/a/a/a/a/h7.java, line(s) 471,757,758
g/a/a/a/a/i8.java, line(s) 27,46
g/a/a/a/a/u3.java, line(s) 152,152,152
g/a/a/a/a/w0.java, line(s) 26,29
g/k/b/a/b.java, line(s) 29
g/k/k/b.java, line(s) 45
g/k/n/b.java, line(s) 85
g/k/o/d.java, line(s) 133
g/n/a/a/b/i/a.java, line(s) 26
g/n/a/a/c/c.java, line(s) 22
g/n/a/a/c/i.java, line(s) 73
g/n/a/a/e/a/a/a.java, line(s) 29
g/n/a/a/e/a/a/b.java, line(s) 69
g/n/a/a/f/a/d.java, line(s) 56
jp/co/cyberagent/android/gpuimage/GPUImageView.java, line(s) 167
k/a/a/a/a/b.java, line(s) 311

中危 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/adobe/mobile/StaticMethods.java, line(s) 775
com/picc/aasipods/module/person/controller/TestActivity.java, line(s) 537
g/a/a/a/a/z3.java, line(s) 69
g/j/a/j/c/g.java, line(s) 16
g/j/d/a/a/h/g/b.java, line(s) 28,61,74
g/j/d/a/a/l/b.java, line(s) 23

中危 IP地址泄露

CODE

IP地址泄露


Files:
cn/picclife/exocr/c/b/a.java, line(s) 28
f/a/a/a/a/a0/a.java, line(s) 41,42,43,44,45,46,47,48,49,50,51,52,54,53,55,6,38,37,36,40,39,35
f/a/a/a/a/h1/a.java, line(s) 6,15,54,39,40,44,45,46,47,48,41,42,49,50,51,52,53,43,7,9,11,13
f/a/a/a/a/j1/a.java, line(s) 21,25,26,27,22,23,24,28
f/a/a/a/a/l1/c.java, line(s) 229,230,231,232,233,234,64,190,191,192,83,114,52,93,185,186,187,188,223,224,225,226,227,228,11,141,142,143,144,145,133,134,135,136,137,138,139,140,84,146,147,151,152,154,153,149,148,150,165,166,167,168,169,170,171,180,181,182,172,183,184,51,60,173,174,175,176,177,178,179,194,195,193,203,204,207,208,209,210,211,212,213,214,215,216,217,218,219,220,202,205,206,235,236,189,221,222,196,197,198,199,200,201
f/a/a/a/a/n1/p.java, line(s) 8,41,42,43,48,9,11,13,15,44
f/a/a/a/a/p1/j.java, line(s) 55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,84,83,54,77,78,79,80,81,82
f/a/a/a/a/p1/k.java, line(s) 72,74,76,90,103,91,77,85,86,87,88,89,92,79,70,94,82,83,81,111,109,102,95,97,98,99,101
f/a/a/a/a/p1/n.java, line(s) 36,32,30,31,26,27,28,29,34,33,35
f/a/a/a/a/r1/h.java, line(s) 81,90,91,92,93,94,95,96,97,98,99,82,100,83,84,85,86,87,88,89,101,102,103,104,105,106,107,70,71,72,111
f/a/a/f/e/a.java, line(s) 98,99,67,68,141,69,70,71,140,72,73,97,133
f/a/a/f/e/d.java, line(s) 58,59,27,28,104,29,30,31,103,32,33,57,96
g/j/a/k/a.java, line(s) 9
g/j/d/a/a/g/b.java, line(s) 13
g/j/d/a/a/h/b.java, line(s) 13
g/j/d/a/a/k/m.java, line(s) 13
g/j/d/a/a/k/q/a.java, line(s) 29
g/j/d/a/a/l/s.java, line(s) 4
p/b/c/c1.java, line(s) 46,44,43

中危应用程序使用不安全的随机数生成器

CODE

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
cn/org/bjca/anysign/android/api/core/a/a/g.java, line(s) 5
cn/picclife/facelib/util/BizUtil.java, line(s) 34
com/cwits/cyx_drive_sdk/util/ScanUtil.java, line(s) 9
com/picc/aasipods/common/utils/Util.java, line(s) 13
f/a/a/a/c/a/d.java, line(s) 4
f/a/a/a/c/a/h.java, line(s) 4
f/a/a/d/a.java, line(s) 8
f/a/a/e/a.java, line(s) 7
f/a/a/f/e/a.java, line(s) 26
f/a/a/f/e/h.java, line(s) 13
f/a/a/f/e/j.java, line(s) 5
g/a/a/a/a/h2.java, line(s) 9
g/a/a/a/a/ja.java, line(s) 9
g/a/a/a/a/s2.java, line(s) 5
g/a/a/a/a/v9.java, line(s) 16
l/g3/a.java, line(s) 3
l/g3/b.java, line(s) 3
l/g3/c.java, line(s) 3
l/g3/d.java, line(s) 4
l/g3/e.java, line(s) 3
l/g3/j/a.java, line(s) 3
l/t2/c0.java, line(s) 6
l/t2/x.java, line(s) 9
o/a/a/b/b.java, line(s) 3
o/a/a/b/g.java, line(s) 4
org/greenrobot/greendao/test/DbTest.java, line(s) 7

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

CODE

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/adobe/mobile/AnalyticsTrackTimedAction.java, line(s) 5,6,67,71,149,161
com/cwits/cyx_drive_sdk/util/ProcessLeakUtil.java, line(s) 9,147
com/picc/aasipods/common/db/picc/table/MessageDetailDao.java, line(s) 4,42,50
com/picc/aasipods/common/db/picc/table/XiaoIChatMessageDao.java, line(s) 4,42,50
com/picc/aasipods/module/person/controller/AddressAddActivity.java, line(s) 6,407,620
com/wzgiceman/rxretrofitlibrary/retrofit_rx/download/DownInfoDao.java, line(s) 4,45,53
com/wzgiceman/rxretrofitlibrary/retrofit_rx/http/cookie/CookieResulteDao.java, line(s) 4,29,37
f/a/a/b/d/a/b/b.java, line(s) 7,59,72,159
f/a/a/b/d/a/b/c.java, line(s) 4,5,20
f/a/a/f/c/d.java, line(s) 6,66,82
f/a/a/f/c/e.java, line(s) 4,5,20
g/a/a/a/a/n0.java, line(s) 4,39,40,41,51,61
g/n/a/a/d/d/b.java, line(s) 4,5,24,30
g/q/a/a/j/a/a.java, line(s) 6,7,48,49,50,55,154
g/q/a/a/j/b/a.java, line(s) 4,5,14
g/q/a/a/j/b/c.java, line(s) 6,67,77
g/q/a/a/j/d/d.java, line(s) 4,99,140,180,221,451,662
org/greenrobot/greendao/AbstractDao.java, line(s) 6,7,379,383,399,471,491
org/greenrobot/greendao/DbUtils.java, line(s) 6,36,79
org/greenrobot/greendao/database/StandardDatabase.java, line(s) 5,64,65

中危 MD5是已知存在哈希冲突的弱哈希

CODE

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
cn/picclife/facelib/util/BizUtil.java, line(s) 112,120
com/adobe/mobile/RemoteDownload.java, line(s) 447
com/cwits/cyx_drive_sdk/util/MD5Tool.java, line(s) 12
com/intsig/ccrengine/CommonUtil.java, line(s) 302
com/intsig/dlcardscansdk/CommonUtil.java, line(s) 144
com/intsig/dlcardscansdk/bigkey/AppkeySDK.java, line(s) 653
com/intsig/idcardscan/d.java, line(s) 100
com/intsig/vlcardscansdk/CommonUtil.java, line(s) 144
com/intsig/vlcardscansdk/bigkey/AppkeySDK.java, line(s) 499
com/picc/aasipods/common/utils/AppUtil.java, line(s) 163
com/picc/aasipods/common/utils/FileUtils.java, line(s) 242
com/picc/aasipods/common/utils/Md5Utils.java, line(s) 64,55
g/a/a/a/a/u7.java, line(s) 88
g/n/a/a/b/h/b.java, line(s) 500
g/n/a/a/g/d.java, line(s) 13
i/a/a/b/a.java, line(s) 751
p/b/c/c1.java, line(s) 235

中危不安全的Web视图实现。可能存在WebView任意代码执行漏洞

CODE

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
g/a/a/a/a/y6.java, line(s) 186,185

中危应用程序创建临时文件。敏感信息永远不应该被写进临时文件

CODE

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/picc/aasipods/common/utils/FileUtils.java, line(s) 57
g/x/a/a/c.java, line(s) 178
l/a3/q.java, line(s) 129,155
l/a3/z/e.java, line(s) 449,472,476,500

中危可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

CODE

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/picc/aasipods/common/view/privicy/PrivacyWebView.java, line(s) 134,121
com/picc/aasipods/module/webview/controller/TestWebViewActivity.java, line(s) 47,75,102,34,62,89
com/picc/aasipods/module/webview/view/MyWebView.java, line(s) 342,329

中危此应用程序可能会请求root（超级用户）权限

CODE

此应用程序可能会请求root（超级用户）权限
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/picc/aasipods/common/utils/SecurityUtil.java, line(s) 91,98,91,98

中危应用程序包含隐私跟踪程序

TRACKERS

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户，是终端用户的隐私问题。

中危此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
vivo推送的=> "com.vivo.push.app_id" : "19001"
高德地图的=> "com.amap.api.v2.apikey" : "1f09334a55496c5581ec9b4149f5621f"
华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "10477702"
百度地图的=> "com.baidu.lbsapi.API_KEY" : "29kC2g1UyXpvpvX6DPuGIV7USd9ddp5u"
vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI"
vivo推送的=> "com.vivo.push.api_key" : "d84a2723-0668-4273-a64b-a95a6dfb922a"
华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=10477702"
"keyboard_key4" : "<"
"keyboard_key2" : "&"
"keyboard_key1" : "@"
"keyboard_key5" : ">"
"library_android_database_sqlcipher_authorWebsite" : "https://www.zetetic.net/sqlcipher/"
"key_bg" : "bg"
"library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1"
"keyboard_key3" : """
QImtleSI6IiVzIiwicGxhdGZvcm0iOiJhbmRyb2lkIiwiZGl1IjoiJXMiLCJhZGl1IjoiJXMiLCJwa2ciOiIlcyIsIm1vZGVsIjoiJXMiLCJhcHBuYW1lIjoiJXMiLCJhcHB2ZXJzaW9uIjoiJXMiLCJzeXN2ZXJzaW9uIjoiJXMi
E95E4A5F737059DC60DFC7AD95B3D8139515620F
340E7BE2A280EB74E2BE61BADA745D97E8F7C300
E95E4A5F737059DC60DFC7AD95B3D8139515620C
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
7CBBBCF9441CFAB76E1890E46884EAE321F70C0BCB4981527897504BEC3E36A62BCDFA2304976540F6450085F2DAE145C22553B465763689180EA2571867423E
7BC382C63D8C150C3C72080ACE05AFA0C2BEA28E4FB22787139165EFBA91F90F8AA5814A503AD4EB04A8C7DD22CE2826
3DF91610A83441CAEA9863BC2DED5D5AA8253AA10A2EF1C98B9AC8B57F1117A72BF2C7B9E7C1AC4D77FC94CADC083E67984050B75EBAE5DD2809BD638016F723
04A3E8EB3CC1CFE7B7732213B23A656149AFA142C47AAFBC2B79A191562E1305F42D996C823439C56D7F7B22E14644417E69BCB6DE39D027001DABE8F35B25C9BE
W6VLf6PitAIkKiFuVXBeTe54CSc8jB
be62b2b035844314a649e4e19bbf0972
A9FB57DBA1EEA9BC3E660A909D838D718C397AA3B561A6F7901E0E82974856A7
AYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19ORVRXT1JLX1NUQVRF
AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308717D4D9B009BC66842AECDA12AE6A380E62881FF2F2D82C68528AA6056583A48F3
ee03312a-0e9f-4092-825b-d0e204903cda
0680512BCBB42C07D47349D2153B70C4E5D7FDFCBFA36EA1A85841B9E46E09A2
C6K+35Zyo6auY5b635byA5pS+5bmz5Y+w5a6Y572R5LiK5Y+R6LW35oqA5pyv5ZKo6K+i5bel5Y2V4oCUPui0puWPt+S4jktleemXrumimO+8jOWSqOivoklOVkFMSURfVVNFUl9LRVnlpoLkvZXop6PlhrM=
b3c61531d3a785d8af140218304940e5b24834d3
EYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19XSUZJX1NUQVRF
7D5A0975FC2C3057EEF67530417AFFE7FB8055C126DC5C6CE94A4B44F330B5D9
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0QK66HSqlx9suTmInxUqXS546I3VClu0JbcXeLJ5gHV1WwHYbyoN92N09JSoADH957ux+VEN2RzvWNPbWtT6J1/JbaRV6NOiRlWdKTzutpPptOF5HlgYcLd0QTwDrriVl7l1xyDnqGhE2ozRTNzdCVcJC5Z12aNaY+rfmm3kz5wIDAQAB
4B337D934104CD7BEF271BF60CED1ED20DA14C08B3BB64F18A60888D
04BED5AF16EA3F6A4F62938C4631EB5AF7BDBCDBC31667CB477A1A8EC338F94741669C976316DA6321
CAF9B6B99962BF5C2264824231D7A40C
0ac1f9274b944cb0aec084ff63666cd9
f976973e846042a3b689089d72d7cd15
WYW5kcm9pZC5uZXQuY29ubi5DT05ORUNUSVZJVFlfQ0hBTkdF
520883949DFDBC42D3AD198640688A6FE13F41349554B49ACC31DCCD884539816F5EB4AC8FB1F1A6
8542D69E4C044F18E8B92435BF6FF7DE457283915C45517D722EDB8B08F1DFC3
EYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19DT0FSU0VfTE9DQVRJT04=
Y29tLm1jcy5hY3Rpb24uUkVDRUlWRV9TREtfTUVTU0FHRQ==
EYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX0VYVEVSTkFMX1NUT1JBR0U=
D35E472036BC4FB7E13C785ED201E065F98FCFA6F6F40DEF4F92B9EC7893EC28FCD412B1F1B32E27
8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B412B1DA197FB71123ACD3A729901D1A71874700133107EC53
E95E4A5F737059DC60DF5991D45029409E60FC09
68A5E62CA9CE6C1C299803A6C1530B514E182AD8B0042A59CAD29F43
B92825C2BD5D6D6D1E7F39EECD17843B7D9016F611136B75441BC6F4D3F00F05
5b3c89ec5d51414db0fc6d8165cac861
8eef8e5575514c23b7dedfcf4b39c111
043AE9E58C82F63C30282E1FE7BBF43FA72C446AF6F4618129097E2C5667C2223A902AB5CA449D0084B7E5B3DE7CCC01C9
6A91174076B1E0E19C39C031FE8685C1CAE040E5C69A28EF
A7F561E038EB1ED560B3D147DB782013064C19F27ED27C6780AAF77FB8A547CEB5B4FEF422340353
787968B4FA32C3FD2417842E73BBFEFF2F3C848B6831D7E0EC65228B3937E498
2580F63CCFE44138870713B1A92369E33E2135D266DBB372386C400B
d2f2693d3d9c487e8cd99d880649f986
cb7f8d8b-d547-4e25-85d3-4277c7db7326
20b81885-04e3-4d17-b27c-21831f26414b
cb072839e1e240a23baae123ca6cf165
2020092314484679e6a6fb-c2bc-4e
26DC5C6CE94A4B44F330B5D9BBD77CBF958416295CF7E1CE6BCCDC18FF8C07B6
e2380b201325a8f252636350338aeae8
7F519EADA7BDA81BD826DBA647910F8C4B9346ED8CCDC64E4B1ABD11756DCE1D2074AA263B88805CED70355A33B471EE
D7C134AA264366862A18302575D1D787B09F075797DA89F57EC8C0FC
1E589A8595423412134FAA2DBDEC95C8D8675E58
C7ADB20F22F238708BA5EE26D0401DB9
WYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX1NFVFRJTkdT
048BD2AEB9CB7E57CB2C4B482FFC81B7AFB9DE27E1E3BD23C23A4453BD9ACE3262547EF835C3DAC4FD97F8461A14611DC9C27745132DED8E545C1D54C72F046997
002de5a0817e4a97aff70beb44970925
041D1C64F068CF45FFA2A63A81B7C13F6B8847A3E77EF14FE3DB7FCAFE0CBD10E8E826E03436D646AAEF87B2E247D4AF1E8ABE1D7520F9C2A45CB1EB8E95CFD55262B70B29FEEC5864E19C054FF99129280E4646217791811142820341263C5315
04925BE9FB01AFC6FB4D3E7D4990010F813408AB106C4F09CB7EE07868CC136FFF3357F624A21BED5263BA3A7A27483EBF6671DBEF7ABB30EBEE084E58A0B077AD42A5A0989D1EE71B1B9BC0455FB0D2C3
4FC29B1AADF6B19BEA61D2A72F36C020
5837ead3928a44bb8030a8d54bb2bb15
0481AEE4BDD82ED9645A21322E9C4C6A9385ED9F70B5D916C1B43B62EEF4D0098EFF3B1F78E2D0D48D50D1687B93B97D5F7C6D5047406A5E688B352209BCB9F8227DDE385D566332ECC0EABFA9CF7822FDF209F70024A57B1AA000C55B881F8111B2DCDE494A5F485E5BCA4BD88A2763AED1CA2B2FA8F0540678CD1E0F3AD80892
c66a815199b2a0d06c772e905c3bd358
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
7A556B6DAE535B7B51ED2C4D7DAA7A0B5C55F380
17673045b6cdcb4d6f289feeb7889771
WY29tLmFuZHJvaWQuaWQuaW1wbC5JZFByb3ZpZGVySW1wbA
C302F41D932A36CDA7A3463093D18DB78FCE476DE1A86297
BC3736A2F4F6779C59BDCEE36B692153D0A9877CC62A474002DF32E52139F0A0
WYW5kcm9pZC5wZXJtaXNzaW9uLlJFQURfUEhPTkVfU1RBVEU=
40C27E38DCAD404B5465362914090908
D35E472036BC4FB7E13C785ED201E065F98FCFA6F6F40DEF4F92B9EC7893EC28FCD412B1F1B32E24
0443BD7E9AFB53D8B85289BCC48EE5BFE6F20137D10A087EB6E7871E2A10A599C710AF8D0D39E2061114FDD05545EC1CC8AB4093247F77275E0743FFED117182EAA9C77877AAAC6AC7D35245D1692E8EE1
SWjJuYVh2eEMwSzVmNklFSmh0UXpVb2xtOVM4eU9Ua3E
83862119-9fb6-468a-8648-952fb7e8ffa2
04640ECE5C12788717B9C1BA06CBC2A6FEBA85842458C56DDE9DB1758D39C0313D82BA51735CDB3EA499AA77A7D6943A64F7A3F25FE26F06B51BAA2696FA9035DA5B534BD595F5AF0FA2C892376C84ACE1BB4E3019B71634C01131159CAE03CEE9D9932184BEEF216BD71DF2DADF86A627306ECFF96DBB8BACE198B61E00F8B332
09e4aa89f3b6467fb97449c1ca26849f
E49D5C2C0E11B3B1B96CA56C6DE2A14EC7DAB5CCC3B5F300D03E5B4DBA44F539
AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA70330870553E5C414CA92619418661197FAC10471DB1D381085DDADDB58796829CA90069
8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B31F166E6CAC0425A7CF3AB6AF6B7FC3103B883202E9046565
aHR0cHM6Ly9kb3dubG9hZC5pbnRzaWcubmV0L2FwcC9xdWVyeV91cGRhdGVzMg==
8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B412B1DA197FB71123ACD3A729901D1A71874700133107EC50
0bb872ef814e4aaaa2286ae50896272e
04B199B13B9B34EFC1397E64BAEB05ACC265FF2378ADD6718B7C7C1961F0991B842443772152C9E0AD
fd8d30fa3a944784993298e17568d434
45153f9b8861e5baeba4d3946743bfea
421DEBD61B62EAB6746434EBC3CC315E32220B3BADD50BDC4C4E6C147FEDD43D
3EE30B568FBAB0F883CCEBD46D3F3BB8A2A73513F5EB79DA66190EB085FFA9F492F375A97D860EB4
aHR0cHM6Ly9iY3JzLmludHNpZy5uZXQvYmNyL0JDUlNES19VcGRhdGVfVXNhZ2VfMg==
A9FB57DBA1EEA9BC3E660A909D838D726E3BF623D52620282013481D1F6E5377
CB5E100E5A9A3E7F6D1FD97512215282
f71ec81a814c420c8ec39d1a5e689c7b
c3e12ac59d052333d6dafd2a6449e12e
65de41972c76c42919d2f625f65B6944
EYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19GSU5FX0xPQ0FUSU9O
469A28EF7C28CCA3DC721D044F4496BCCA7EF4146FBF25C9
4A8C7DD22CE28268B39B55416F0447C2FB77DE107DCD2A62E880EA53EEB62D57CB4390295DBC9943AB78696FA504C11
A1EE3DB71F5845C0365356C9DB32961118802C11EEF3D161AA0F900FEF15331AB8428EF2CB09F3555F4186C9
WYW5kcm9pZC5wZXJtaXNzaW9uLkNIQU5HRV9XSUZJX1NUQVRF
8542D69E4C044F18E8B92435BF6FF7DD297720630485628D5AE74EE7C32E79B7
EYW5kcm9pZC5wZXJtaXNzaW9uLlJFQURfRVhURVJOQUxfU1RPUkFHRQ==
b0468978c5fd4c8eb403749979f4d784
11682e10892a4accbd0659b6e5a35461
20d570c8-eb97-452e-aebb-d9662465c3c0
046AB1E344CE25FF3896424E7FFE14762ECB49F8928AC0C76029B4D5800374E9F5143E568CD23F3F4D7C0D4B1E41C8CC0D1C6ABD5F1A46DB4C
QY29udGVudDovL2NvbS52aXZvLnZtcy5JZFByb3ZpZGVyL0lkZW50aWZpZXJJZC9PQUlE
63E4C6D3B23B0C849CF84241484BFE48F61D59A5B16BA06E6E12D1DA27C5249A
6f4c1d51f3c145cf9f533d3972790d47
32C4AE2C1F1981195F9904466A39C9948FE30BBFF2660BE1715A4589334C74C7
D7C134AA264366862A18302575D0FB98D116BC4B6DDEBCA3A5A7939F
8cd0604ba33e2ba7f38a56f0aec08a54
A9FB57DBA1EEA9BC3E660A909D838D726E3BF623D52620282013481D1F6E5374
C302F41D932A36CDA7A3463093D18DB78FCE476DE1A86294
3b53332004bff0c1ca77f147c15cf024181b0117
D35E472036BC4FB7E13C785ED201E065F98FCFA5B68F12A32D482EC7EE8658E98691555B44C59311
418b78f5838ed0b1c69bb4e51ea0252171854915-
16f662119ed6c70fc65234998374efe03c1700cc22c0945b63ca7df898907dab0d2f72fa45befd51b33c8f56fad9d728
3517262215D8D3008CBF888750B6418EDC4D562AC33ED6874E0D73ABA667BC3C
a13d2a9bd59a00faa3a84d64cdbf9b8d
D7C134AA264366862A18302575D1D787B09F075797DA89F57EC8C0FF
AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308717D4D9B009BC66842AECDA12AE6A380E62881FF2F2D82C68528AA6056583A48F0
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArgkASF0hu4rfcrKDKp4JOlo/LY5HDf1KQUhVBQ+pI4t7POAb7+jm9zueWbGFqpWc2GW3Wy4rGbWXZWmyTedxExdEuaORTADzqln0fpTVgDSEytJPFDcUeaQ2Z7qGYkvF8P63xl2DVyrmHjKNW9vhrSgbhuzn+XeLW7FV5E4v1mfnQJuTw+W5MkXnrg91jyX5U4kAtawzhXygaqOcwjPyOMDHkDzSbdV6irGjt6T5nJGmPV1o7j4oL4pSdZSxmP7YBfdvCnmi0wV3S419XxUUXg1Rc9ful+cKrbNgUbcCtyK05bXq9tBW3phPbEfgQZJM5tUoCCp3q9CBvRK25BsPqQIDAQAB
IaHR0cDovL2xvZ3MuYW1hcC5jb20vd3MvbG9nL3VwbG9hZD9wcm9kdWN0PSVzJnR5cGU9JXMmcGxhdGZvcm09JXMmY2hhbm5lbD0lcyZzaWduPSVz
0418DE98B02DB9A306F2AFCD7235F72A819B80AB12EBD653172476FECD462AABFFC4FF191B946A5F54D8D0AA2F418808CC25AB056962D30651A114AFD2755AD336747F93475B7A1FCA3B88F2B6A208CCFE469408584DC2B2912675BF5B9E582928
d7afbc6a38848a6801f6e449f3ec8e53
4a2ca769d79f4856bb3bd982d30de790
NDE1NDA4bm9kZXZpY2Vjd2F1dGhvcml6ZZ7n5ufm5+Tq/+bg5efl5ef+5Ofm4Obg5Yjm5uvl5ubrkeXm5uvl5uai6+Xm5uvl5uTm6+Xm5uDm1efr5+vn6+er4Ofr5+vn65vn5+Tn4+bn
2019041916272490ffaea9-b14c-40
13D56FFAEC78681E68F9DEB43B35BEC2FB68542E27897B79
0123456789ABCDEFabcdef
C302F41D932A36CDA7A3462F9E9E916B5BE8F1029AC4ACC1
662C61C430D84EA4FE66A7733D0B76B7BF93EBC4AF2F49256AE58101FEE92B04
7830A3318B603B89E2327145AC234CC594CBDD8D3DF91610A83441CAEA9863BC2DED5D5AA8253AA10A2EF1C98B9AC8B57F1117A72BF2C7B9E7C1AC4D77FC94CA
bd62163f-ae8c-4191-bed2-d68ef25dabec
28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93
ba10574156ce05d36596f2b6a28ae648c48f1489eaadeafde92940180d4deafe0d2f72fa45befd51b33c8f56fad9d728
7380166f4914b2b9172442d7da8a0600a96f30bc163138aae38dee4db0fb0e4e
WYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19MT0NBVElPTl9FWFRSQV9DT01NQU5EUw==
040D9029AD2C7E5CF4340823B2A87DC68C9E4CE3174C1E6EFDEE12C07D58AA56F772C0726F24C6B89E4ECDAC24354B9E99CAA3F6D3761402CD
EBDEC84EF205FEA2DF0719DEB822869E
EYW5kcm9pZC5wZXJtaXNzaW9uLlJFQURfUEhPTkVfU1RBVEU=
SYW5kcm9pZC5vcy5zdG9yYWdlLlN0b3JhZ2VWb2x1bWU
04C0A0647EAAB6A48753B033C56CB0F0900A2F5C4853375FD614B690866ABD5BB88B5F4828C1490002E6773FA2FA299B8F

信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
cn/org/bjca/anysign/android/api/core/CommentActivity.java, line(s) 34
cn/org/bjca/anysign/android/api/core/GenUtil.java, line(s) 232
cn/org/bjca/anysign/android/api/core/HandlerC0089j.java, line(s) 122
cn/org/bjca/anysign/android/api/core/HandlerC0101v.java, line(s) 58
cn/org/bjca/anysign/android/api/core/SignRule.java, line(s) 212,219
cn/org/bjca/anysign/android/api/core/UI/g.java, line(s) 162
cn/org/bjca/anysign/android/api/core/a/a/g.java, line(s) 35,38,41,49,55,57,58
cn/org/bjca/anysign/android/api/core/ae.java, line(s) 653
cn/org/bjca/anysign/android/api/core/ah.java, line(s) 133,136
cn/picclife/exocr/c/e/a.java, line(s) 11,17
cn/picclife/exocr/luban/Luban.java, line(s) 314,313
cn/picclife/facelib/luban/Luban.java, line(s) 306,305
cn/picclife/facelib/netcore/utils/Logger.java, line(s) 12,18,24
com/adobe/mobile/StaticMethods.java, line(s) 983,986,992,995,1001,1004
com/cwits/cyx_drive_sdk/util/Coordinate.java, line(s) 112,117,120,123,128
com/cwits/cyx_drive_sdk/util/LocationFilter.java, line(s) 17
com/cwits/cyx_drive_sdk/util/ScanUtil.java, line(s) 41,45,49,53,57
com/cwits/cyx_drive_sdk/util/TimeUtil.java, line(s) 40,144
com/cwits/cyx_drive_sdk/util/UrlEncodeUtil.java, line(s) 98,114,131,93
com/cwits/cyx_drive_sdk/util/ZipUtils.java, line(s) 59,62,138,141
com/github/barteksc/pdfviewer/PDFView.java, line(s) 501,510,624,736
com/intsig/ccrengine/CCREngine.java, line(s) 297,198,221
com/intsig/ccrengine/CopyOfISCardScanActivity$b.java, line(s) 16,19
com/intsig/ccrengine/CopyOfISCardScanActivity.java, line(s) 74
com/intsig/ccrengine/bigkey/ISBaseScanActivity$e.java, line(s) 18
com/intsig/ccrengine/bigkey/ISBaseScanActivity$g.java, line(s) 18
com/intsig/ccrengine/bigkey/ISBaseScanActivity.java, line(s) 471,583,91,113,189,205,371,372,449,468,487,526,544
com/intsig/dlcardscansdk/bigkey/AppkeySDK.java, line(s) 92,93,109,241,247,248,257,261,351,495,569,573,628,629,638,643,684,691,725,734,737,749,751,487,491,522,544,545
com/intsig/dlcardscansdk/bigkey/ISBaseScanActivity.java, line(s) 501,534,683,113,132,195,203,531,573,598,626,644,755,761,622
com/intsig/idcardscan/sdk/utils/LogUtils.java, line(s) 93,125,101,133,97,129,89,121,103,105,135,137
com/intsig/vlcardscansdk/ISCardScanActivity.java, line(s) 147,158
com/intsig/vlcardscansdk/bigkey/AppkeySDK.java, line(s) 79,80,95,227,233,234,243,247,322,415,419,474,475,484,489,564,573,576,588,590
com/intsig/vlcardscansdk/bigkey/BaseSDK.java, line(s) 16,22,30
com/intsig/vlcardscansdk/bigkey/ISBaseScanActivity.java, line(s) 469,472,622,112,131,194,202,522,551,565,583
com/makeramen/roundedimageview/RoundedImageView.java, line(s) 138,156
com/necer/ncalendar/calendar/MonthCalendar.java, line(s) 50,56
com/necer/ncalendar/calendar/NCalendar.java, line(s) 190
com/nineoldandroids/animation/PropertyValuesHolder.java, line(s) 61,82,150,152,189,191,256,274,276,329,331,420,422
com/picc/aasipods/MyApplication.java, line(s) 99
com/picc/aasipods/common/MainActivity.java, line(s) 198,1437,201,1124,1291,1296,1458
com/picc/aasipods/common/network/websocket/MyWsManager.java, line(s) 63,99,29,33,41,45,52,59,106,110,113
com/picc/aasipods/common/network/websocket/TimeCount.java, line(s) 20
com/picc/aasipods/common/utils/AppUserInfo.java, line(s) 132,170
com/picc/aasipods/common/utils/AppUtil.java, line(s) 268
com/picc/aasipods/common/utils/BitmapUtils.java, line(s) 50
com/picc/aasipods/common/utils/FilePDFUtils.java, line(s) 134,213,229
com/picc/aasipods/common/utils/FileSaveUtil.java, line(s) 54,108
com/picc/aasipods/common/utils/IDCardCheck.java, line(s) 128
com/picc/aasipods/common/utils/NavigationBarUtil.java, line(s) 56
com/picc/aasipods/common/utils/RSA/encryption/DES3.java, line(s) 38,39,41,43
com/picc/aasipods/common/utils/RSA/encryption/MDUtil.java, line(s) 114,115,124,125
com/picc/aasipods/common/utils/SDCardListener.java, line(s) 15,21
com/picc/aasipods/common/utils/StretchPanel.java, line(s) 145
com/picc/aasipods/common/utils/StringUtil.java, line(s) 38,43
com/picc/aasipods/common/utils/StringUtils.java, line(s) 43,47,50
com/picc/aasipods/common/utils/TakePhoto/app/TakePhotoActivity.java, line(s) 72,77,82
com/picc/aasipods/common/utils/TakePhoto/app/TakePhotoFragment.java, line(s) 92,97,102
com/picc/aasipods/common/utils/TakePhoto/app/TakePhotoFragmentActivity.java, line(s) 60,65,70
com/picc/aasipods/common/utils/TakePhoto/uitl/IntentUtils.java, line(s) 28
com/picc/aasipods/common/utils/TakePhoto/uitl/TFileUtils.java, line(s) 33,32
com/picc/aasipods/common/utils/TakePhoto/uitl/TImageFiles.java, line(s) 99,66
com/picc/aasipods/common/utils/TakePhoto/uitl/TUriParse.java, line(s) 31,49
com/picc/aasipods/common/utils/TakePhoto/uitl/TUtils.java, line(s) 101
com/picc/aasipods/common/utils/fingerprint/FingerprintUtil.java, line(s) 68
com/picc/aasipods/common/view/BaseLazyFragment.java, line(s) 68
com/picc/aasipods/common/view/BigWordMainActivity.java, line(s) 532
com/picc/aasipods/common/view/HalfProgressBar.java, line(s) 84,85,156,157,158,159,160
com/picc/aasipods/common/view/LockPattern/LockPatternView.java, line(s) 227
com/picc/aasipods/common/view/MyActivity.java, line(s) 276,278
com/picc/aasipods/common/view/MyWebviewActivity.java, line(s) 848,852,2412,2415,2984,3005,3009,3030,3034,3057,3061
com/picc/aasipods/common/view/TouchImageView.java, line(s) 279,285,286,287,288,331,332,333,334,335,336,337,338
com/picc/aasipods/common/view/expandablerecycleradapter/BaseExpandableRecyclerViewAdapter.java, line(s) 218
com/picc/aasipods/common/view/keyboard/SafeKeyboard.java, line(s) 230,339,842,896,242,762,306,309,737,744,766,989
com/picc/aasipods/common/view/smartRefresh/SmartRefreshLayout.java, line(s) 1552,1975
com/picc/aasipods/common/view/util/WBH5FaceVerifySDK.java, line(s) 76,112
com/picc/aasipods/common/view/xbanner/XBanner.java, line(s) 485
com/picc/aasipods/common/view/xtablayout/XTabLayout.java, line(s) 622
com/picc/aasipods/module/car_cliam/activity/CarClaimDeflossActivity.java, line(s) 185
com/picc/aasipods/module/car_cliam/activity/GridChekActivity.java, line(s) 244
com/picc/aasipods/module/chat/controller/XiaoIChatActivity.java, line(s) 277,281
com/picc/aasipods/module/claims/view/SquareCameraPreview.java, line(s) 177,183,190,232,250
com/picc/aasipods/module/edrive/view/LVCircularJump.java, line(s) 66,96,104
com/picc/aasipods/module/home/FunctionsListFragment.java, line(s) 1380,1320
com/picc/aasipods/module/homepage/controller/ArticleNewFragment.java, line(s) 193,198,203,209,244,293,299,306,309
com/picc/aasipods/module/homepage/dargRecyclerview/DraggableGridExampleAdapter.java, line(s) 122
com/picc/aasipods/module/homepage/view/SwipeRefreshView.java, line(s) 55,60,64,70
com/picc/aasipods/module/insured/view/ShopListFragment.java, line(s) 89
com/picc/aasipods/module/launch/controller/SaveDbIntentService.java, line(s) 35
com/picc/aasipods/module/launch/view/AppLaunchActivity.java, line(s) 128,247
com/picc/aasipods/module/launch/view/CameraPreview.java, line(s) 148,214
com/picc/aasipods/module/login/controller/BundingPhoneNumNewActivity.java, line(s) 364,349
com/picc/aasipods/module/login/controller/LockPatternSettingActivity.java, line(s) 245
com/picc/aasipods/module/login/controller/LoginActivity.java, line(s) 468
com/picc/aasipods/module/login/controller/LoginSMSNewActivity.java, line(s) 424,447,349
com/picc/aasipods/module/login/controller/LoginSecCerActivity.java, line(s) 155
com/picc/aasipods/module/login/controller/LoginWxBindPhoneSecCerActivity.java, line(s) 315
com/picc/aasipods/module/login/model/LoginTipUserFingerprintImp.java, line(s) 41,47
com/picc/aasipods/module/more/view/HuodongCenterActivity.java, line(s) 493
com/picc/aasipods/module/mqtt/view/fragment/EmotionMainFragment.java, line(s) 557
com/picc/aasipods/module/myassets/view/PersonFundActivity.java, line(s) 54,59,65,70,75
com/picc/aasipods/module/myassets/view/PreferenceFundActivity.java, line(s) 48
com/picc/aasipods/module/person/MyCameraSurfaceView.java, line(s) 33,99
com/picc/aasipods/module/person/controller/AddcardpicActivity.java, line(s) 239,1874
com/picc/aasipods/module/person/controller/RecogResultActivity2.java, line(s) 97
com/picc/aasipods/module/person/controller/SetupActivity.java, line(s) 406
com/picc/aasipods/module/person/controller/TestActivity.java, line(s) 582
com/picc/aasipods/module/person/controller/TestmapActivity.java, line(s) 88,96
com/picc/aasipods/module/person/controller/test/RSAActivity.java, line(s) 96,107
com/picc/aasipods/module/person/view/InputKeyboardView.java, line(s) 524,535,680
com/picc/aasipods/module/policy/model/DownloadElecPolicyHttpRequest.java, line(s) 91
com/picc/aasipods/module/policyChange/view/ApplySurrenderActivity.java, line(s) 322,430
com/picc/aasipods/module/policyChange/view/IdCardIdentifiedActivity.java, line(s) 193
com/picc/aasipods/module/receipts/view/HandBookActivity.java, line(s) 234,238
com/picc/aasipods/module/receipts/view/HandBookForReportActivity.java, line(s) 51,56,61,67,198,210,214
com/picc/aasipods/module/receipts/view/PolicyNumCheckActivity.java, line(s) 212
com/picc/aasipods/module/receipts/view/SignedreceiptsDetailActivity.java, line(s) 350
com/picc/aasipods/module/report/controller/AllCountryClaimDetailActivity.java, line(s) 417,229
com/picc/aasipods/module/report/controller/ClaimsCaseDetailFragment.java, line(s) 376
com/picc/aasipods/module/report/controller/ClaimsEvaluateActivity.java, line(s) 242
com/picc/aasipods/module/versionupdate/controller/VersionUpdateActivity.java, line(s) 199,414,793,828
com/picc/aasipods/module/webview/view/MyWebView.java, line(s) 164,245
com/picc/aasipods/third/citylist/CharacterParser.java, line(s) 26
com/picc/aasipods/third/date/view/AbstractWheelTextAdapter.java, line(s) 101
com/picc/aasipods/third/insight/InsightManager.java, line(s) 43,53,61,73,81,89,111,123,134,424
com/picc/aasipods/third/jpush/HsmPushEmptyActivity.java, line(s) 402,445
com/picc/aasipods/third/jpush/MiPushMessageReceiver.java, line(s) 209,221,455
com/picc/aasipods/third/jpush/MzPushReceiver.java, line(s) 22,26,30,34
com/picc/aasipods/third/kuangshi/LiveNessUtils.java, line(s) 115,123,135,146,163,171,190,198
com/picc/aasipods/third/photoview/PhotoViewAttacher.java, line(s) 137,172,189,518,538,572,43
com/picc/aasipods/third/push/HwMessageService.java, line(s) 80,133,245,243,248,259
com/picc/aasipods/third/push/NotificationService.java, line(s) 19
com/picc/aasipods/third/push/VivoPushReceiver.java, line(s) 22
com/picc/aasipods/third/push/XmPushReceiver.java, line(s) 138,143,151,159,167,175,183,184,413
com/picc/aasipods/third/tbs/TbsOpenFileActivity.java, line(s) 488
com/picc/aasipods/third/tbs/TbsReadHelper.java, line(s) 27,36,38,40,50,65,74,81,96,103,66,75,82,97,104
com/picc/aasipods/third/zxing/controller/BasicScannerActivity.java, line(s) 117,123,127,131
com/picc/aasipods/third/zxing/scanner/CameraSurfaceView.java, line(s) 36,47,49
com/picc/aasipods/third/zxing/scanner/camera/AutoFocusManager.java, line(s) 55,84,98
com/picc/aasipods/third/zxing/scanner/camera/CameraConfigurationManager.java, line(s) 73,75,78,81,82,94,96,103,107
com/picc/aasipods/third/zxing/scanner/camera/CameraConfigurationUtils.java, line(s) 31,41,42,46,51,79,95,101,120,123,128,142,150,156,169,178,181,188,190,192,199,207,210,82
com/picc/aasipods/third/zxing/scanner/camera/CameraManager.java, line(s) 59,154,198,197,206
com/picc/aasipods/third/zxing/scanner/camera/PreviewCallback.java, line(s) 23
com/picc/aasipods/third/zxing/scanner/camera/open/OpenCameraInterface.java, line(s) 45,51,20,48
com/picc/aasipods/third/zxing/scanner/decode/DecodeThread.java, line(s) 43
com/shockwave/pdfium/PdfiumCore.java, line(s) 31,269,273,303,307
com/weigan/loopview/LoopView.java, line(s) 371,203
com/wzgiceman/rxretrofitlibrary/retrofit_rx/Api/ApiDns.java, line(s) 19
com/yalantis/ucrop/UCropActivity.java, line(s) 542
com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 98
com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 55,97,154,160,174,181,214
com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 54,103,113
com/yalantis/ucrop/util/EglUtils.java, line(s) 75
com/yalantis/ucrop/util/FileUtils.java, line(s) 85
com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 136,171,181,193,205,210,223,228,242,258,262,267,276,279,284,170,180,192,204,209,222,227,241,257,261,266,275,278,283
com/yalantis/ucrop/view/TransformImageView.java, line(s) 120,176,206,224
com/zhangqie/zqvideolibrary/ZQResizeTextureView.java, line(s) 37,64,65
com/zhangqie/zqvideolibrary/ZQVideoPlayer.java, line(s) 117,127,185,301,430,508,669,690,905,886,205,258,273,285,420,447,476,631,651,682,735,745,758,769,777,793,811,817,859,923,932,941,947,953,959
exocr/carddom/CaptureActivity.java, line(s) 263
exocr/carddom/DecodeHandler.java, line(s) 477,480
exocr/carddom/DomCardManager.java, line(s) 393
exocr/carddom/bankcard/CardScanner.java, line(s) 760
exocr/carddom/excard/ExCardActivity.java, line(s) 177
exocr/dom/DeepEngineNative.java, line(s) 32,65
exocr/domUtils/LogUtils.java, line(s) 35,42,57,68,75,82
f/a/a/a/b/d.java, line(s) 59,63
f/a/a/b/d/a/b/c.java, line(s) 19
f/a/a/b/d/a/e/a.java, line(s) 21,25,30,34,54,58,62,63,107,111,115,119,123
f/a/a/b/g/f.java, line(s) 81,82
f/a/a/b/g/n.java, line(s) 55
f/a/a/b/h/a.java, line(s) 22,26,31,35,55,59,63,64,100,104,108,112,122
f/a/a/f/c/e.java, line(s) 19
f/a/a/f/e/e.java, line(s) 47,51
f/a/a/f/e/j.java, line(s) 40,41,42,44,45,323,326,329
f/a/a/f/e/n.java, line(s) 68,43,77,78
fm/jiecao/jcvideoplayer_lib/JCMediaManager.java, line(s) 70
fm/jiecao/jcvideoplayer_lib/JCVideoPlayer.java, line(s) 70,77,208,251,478,499,547,551,559,566,744,768,530,168,291,393,434,459,491,504,512,572,616,626,639,645,659,664,680,687,702,738,873,902,144,449
g/a/a/a/a/a.java, line(s) 647
g/a/a/a/a/a3.java, line(s) 148
g/a/a/a/a/aa.java, line(s) 643
g/a/a/a/a/b.java, line(s) 125
g/a/a/a/a/c.java, line(s) 206,102,103,104,111
g/a/a/a/a/c2.java, line(s) 152,662
g/a/a/a/a/c3.java, line(s) 37,34
g/a/a/a/a/g2.java, line(s) 55
g/a/a/a/a/g3.java, line(s) 63,60
g/a/a/a/a/m7.java, line(s) 247,252
g/a/a/a/a/q7.java, line(s) 121,131,325,326,327,333,334,335,344,345,346,352,353,354,363,364,365,371,372,373
g/a/a/a/a/s3.java, line(s) 254
g/a/a/a/a/z6.java, line(s) 431,477
g/a0/a/b/c/a.java, line(s) 23,39
g/c/a/b.java, line(s) 305,314,247,218,246,304,311,219
g/c/a/n/a.java, line(s) 336
g/c/a/o/d.java, line(s) 102,130,101,129
g/c/a/o/f.java, line(s) 541,562,580,540,561,579,764,773
g/c/a/p/o/b.java, line(s) 55,54
g/c/a/p/o/j.java, line(s) 52,148,51,147,151,157,164,161,165
g/c/a/p/o/l.java, line(s) 56,55
g/c/a/p/o/p/c.java, line(s) 112,111
g/c/a/p/o/p/e.java, line(s) 66,65
g/c/a/p/p/a0/j.java, line(s) 116,157,117,158
g/c/a/p/p/a0/k.java, line(s) 135,178,188,273,98,134,144,167,177,187,214,221,272,104,145,215,222,168
g/c/a/p/p/b0/e.java, line(s) 64,70,98,108,121,133,65,99,71,111,122,134
g/c/a/p/p/b0/l.java, line(s) 172,156
g/c/a/p/p/c0/a.java, line(s) 155,152
g/c/a/p/p/c0/b.java, line(s) 45,44
g/c/a/p/p/d0/a.java, line(s) 91,90
g/c/a/p/p/h.java, line(s) 627,347,361,626,239
g/c/a/p/p/i.java, line(s) 56,57
g/c/a/p/p/k.java, line(s) 32,213
g/c/a/p/p/q.java, line(s) 142
g/c/a/p/p/z.java, line(s) 59,60
g/c/a/p/q/c.java, line(s) 19,18
g/c/a/p/q/d.java, line(s) 41,40
g/c/a/p/q/f.java, line(s) 102,101
g/c/a/p/q/s.java, line(s) 101,104
g/c/a/p/q/t.java, line(s) 38,37
g/c/a/p/r/a.java, line(s) 83,84
g/c/a/p/r/d/f.java, line(s) 19,20
g/c/a/p/r/d/g0.java, line(s) 346,168,173,218,227,234,343,169,174,219,228,235,236,237,241
g/c/a/p/r/d/j0.java, line(s) 175,172
g/c/a/p/r/d/o.java, line(s) 199,206,298,308,320,332,350,360,363,366,369,372,386,391,198,205,297,307,319,331,349,359,362,365,368,371,385,390
g/c/a/p/r/d/q.java, line(s) 103,122,102,121,204,269,293,205,270,373
g/c/a/p/r/d/r.java, line(s) 47,53,48,54
g/c/a/p/r/d/w.java, line(s) 67,68
g/c/a/p/r/h/a.java, line(s) 78,83,88,97,79,84,89,98
g/c/a/p/r/h/d.java, line(s) 25,26
g/c/a/p/r/h/j.java, line(s) 41,44
g/c/a/q/e.java, line(s) 36,35,58,77,59,78
g/c/a/q/f.java, line(s) 18,17
g/c/a/q/k.java, line(s) 159,160
g/c/a/q/l.java, line(s) 253,254,265
g/c/a/q/n.java, line(s) 104,105
g/c/a/q/o.java, line(s) 163,170,164,171
g/c/a/r/e.java, line(s) 52,59,70,75,51,58,63,69,74,64
g/c/a/t/j.java, line(s) 301,89,224,258
g/c/a/t/l/f.java, line(s) 77,118,119,78
g/c/a/t/l/r.java, line(s) 77,118,119,78
g/c/a/u/b.java, line(s) 27
g/c/a/v/c.java, line(s) 50,49
g/c/a/v/o/a.java, line(s) 57,58
g/d0/a/c.java, line(s) 133
g/d0/a/g.java, line(s) 113
g/e0/a/l/a.java, line(s) 37
g/h/a/a/a/c/c.java, line(s) 37,47,54,61,69
g/h/a/a/a/c/f/d.java, line(s) 18,26
g/h/a/a/a/c/f/f.java, line(s) 18,26
g/h/a/a/a/c/f/g.java, line(s) 18,26
g/h/a/a/a/c/f/h.java, line(s) 18,26
g/h/a/a/a/f/g.java, line(s) 198
g/h/a/a/a/f/m.java, line(s) 653
g/i/a/l/e.java, line(s) 31,37,45,50,56,62,76,82,157,163,19,25
g/j/a/c.java, line(s) 21,28
g/j/a/j/c/b.java, line(s) 34
g/j/a/j/c/c.java, line(s) 86
g/j/a/j/c/f.java, line(s) 23,27,50
g/j/a/j/c/i.java, line(s) 38,64,81
g/j/a/j/c/j.java, line(s) 76
g/j/a/k/e/a.java, line(s) 115,152,154,164,175
g/j/a/k/e/b.java, line(s) 47,51,59,67,97,119,124,129,143
g/j/a/k/e/c.java, line(s) 41,48,55
g/j/b/a/f/d/b.java, line(s) 22,30,38,46
g/j/c/a/p/g.java, line(s) 37,47,71
g/j/d/a/a/f/a.java, line(s) 106
g/j/d/a/a/h/e/b/b.java, line(s) 188,202,216,233
g/j/d/a/a/h/g/b.java, line(s) 77
g/j/d/a/a/h/g/g.java, line(s) 16,20,24,28,32
g/j/d/a/a/j/a.java, line(s) 36,58,82,91,98,108
g/j/d/a/a/k/q/a.java, line(s) 140,149,151,220
g/j/d/a/a/k/q/i.java, line(s) 16,20,24,28,32
g/j/d/a/a/l/a.java, line(s) 191,207
g/j/d/a/a/l/b.java, line(s) 26
g/j/d/a/a/l/c.java, line(s) 22,25,63,66,68
g/j/d/a/a/l/d.java, line(s) 31,72
g/j/d/a/a/l/e.java, line(s) 167,174,181,188,195,202,209,216,223,230,237,244,251,258,265,272,279,286,67,74,81,293,300,307
g/j/d/a/a/l/f.java, line(s) 23
g/j/d/a/a/l/g.java, line(s) 16,25,34,43,52,61,70
g/j/d/a/a/l/h.java, line(s) 45
g/j/d/a/a/l/i.java, line(s) 14,25,36
g/j/d/a/a/l/j.java, line(s) 14,25
g/j/d/a/a/l/k.java, line(s) 15,26
g/j/d/a/a/l/o.java, line(s) 38,97,153
g/j/d/a/a/m/a.java, line(s) 45
g/j/d/a/a/m/c.java, line(s) 72,98,125
g/k/b/a/b.java, line(s) 42
g/k/h/i.java, line(s) 89
g/k/o/d.java, line(s) 29,72,84,108,146,125
g/m/a/c.java, line(s) 226
g/n/a/a/c/c.java, line(s) 120,96,132,188,159,176
g/n/a/a/c/f.java, line(s) 76
g/o/a/d/c.java, line(s) 7
g/q/a/a/i/b.java, line(s) 157,167
g/q/a/a/i/q.java, line(s) 77,124,145
g/q/a/a/i/r.java, line(s) 157,167
g/q/a/a/j/a/a.java, line(s) 214,253,275,307,308,313,388,391,205,244
g/q/a/a/j/c/a/c.java, line(s) 20,25,35,39
g/q/a/a/j/c/c/a.java, line(s) 23,39
g/q/a/a/k/u.java, line(s) 139,142,144,147,150,164
g/q/a/c/a/a/n.java, line(s) 55
g/q/a/c/j/e/d.java, line(s) 169,444
g/q/a/c/k/a/b.java, line(s) 299,315,417,451,463,474,508,629,336
g/q/a/c/m/c.java, line(s) 598
g/q/a/c/m/h.java, line(s) 862
g/q/a/c/n/a/f.java, line(s) 186,191,196,201,206,83,88,97,106,111,114,119,122,128,135,141,146,149,188,193,198,203,208,211,225
g/q/a/c/n/a/h.java, line(s) 28
g/q/a/c/n/a/i.java, line(s) 29
g/q/a/c/p/a/l.java, line(s) 35
g/q/a/c/r/b/b.java, line(s) 111,423
g/q/a/c/r/b/c.java, line(s) 530,537
g/q/a/c/s/b.java, line(s) 53,350,249,271,275,330
g/q/a/c/s/c/b.java, line(s) 64
g/q/a/c/t/g.java, line(s) 77
g/q/a/c/u/f/q4.java, line(s) 183
g/q/a/c/u/f/y4.java, line(s) 115,119,124,128,142,146,161,166,229,315,329
g/q/a/c/u/f/z4.java, line(s) 61,112,136,145,154,191,40,42,47,48,53,60,67,74,78,82,87
g/q/a/c/v/b/f.java, line(s) 286,293,299
g/q/a/c/v/c/f.java, line(s) 91
g/q/a/c/w/b/a.java, line(s) 124,126,128,134,261,50,59,63,69,74,270,288,294
g/q/a/c/x/b/a0.java, line(s) 235,236,237,238,239,852
g/q/a/c/x/b/c0.java, line(s) 831
g/q/a/c/x/b/h0.java, line(s) 431
g/q/a/c/x/b/i0.java, line(s) 813
g/q/a/c/x/b/j0.java, line(s) 96
g/q/a/c/x/b/l0.java, line(s) 730
g/q/a/c/x/b/m0.java, line(s) 113
g/q/a/c/x/b/o0.java, line(s) 612
g/q/a/c/x/b/p0.java, line(s) 207
g/q/a/c/x/b/q0.java, line(s) 118
g/v/b/e/a.java, line(s) 38
g/x/a/a/e.java, line(s) 9,13
g/z/a/b.java, line(s) 29
i/a/a/b/a.java, line(s) 245,246,261,393,399,405,414,418,512,606,646,650,666,726,727,736,741,796,803,839,842,851,854,866,868
jp/co/cyberagent/android/gpuimage/GLTextureView.java, line(s) 167,186,285,826,239
k/a/a/a/a/d.java, line(s) 101,105,117,80,82,84
k/a/a/a/a/f/a.java, line(s) 17,22,31,48
l/a3/d.java, line(s) 16,21,26,31,36,41,46,51,56,62,67,72,77,82,87,92,97,102,107,112,118
m/b/i4/b.java, line(s) 80
n/a/a/b.java, line(s) 127,126
net/sqlcipher/AbstractCursor.java, line(s) 143
net/sqlcipher/BulkCursorToCursorAdaptor.java, line(s) 44,62,102,113,157,184,209,36,78,195
net/sqlcipher/DatabaseUtils.java, line(s) 117,154,594,605
net/sqlcipher/DefaultDatabaseErrorHandler.java, line(s) 14,24,26,30,18
net/sqlcipher/database/SQLiteCompiledSql.java, line(s) 52,63,82,90,73
net/sqlcipher/database/SQLiteContentHelper.java, line(s) 25
net/sqlcipher/database/SQLiteDatabase.java, line(s) 175,1128,1139,1407,1415
net/sqlcipher/database/SQLiteDebug.java, line(s) 8,9,10,11,12,13
net/sqlcipher/database/SQLiteOpenHelper.java, line(s) 123,142
net/sqlcipher/database/SQLiteProgram.java, line(s) 44,50
net/sqlcipher/database/SQLiteQuery.java, line(s) 116
net/sqlcipher/database/SQLiteQueryBuilder.java, line(s) 223,222
net/sqlcipher/database/SqliteWrapper.java, line(s) 29,39,53,63,73
o/b/a/e.java, line(s) 73,48,55,59,61,62
o/b/a/f.java, line(s) 54
o/b/a/i/a.java, line(s) 189,207,225,243,261,277,282,300,318,407,422,554,563,568,575,579,581,450,458,466,474,482,497,523,531,539,548
o/b/a/k/i.java, line(s) 17
o/b/a/k/j.java, line(s) 67
o/b/a/k/o/b.java, line(s) 17
o/b/a/k/o/c.java, line(s) 20
o/b/a/l/c.java, line(s) 52,57
o/b/a/m/b.java, line(s) 112
o/b/a/m/c.java, line(s) 45,31,40,49
org/greenrobot/greendao/AbstractDao.java, line(s) 600,638
org/greenrobot/greendao/DaoException.java, line(s) 15,16
org/greenrobot/greendao/DaoLog.java, line(s) 15,47,51,27,31,55,39,59,19,43,63,67
org/greenrobot/greendao/DbUtils.java, line(s) 57,85
org/greenrobot/greendao/async/AsyncOperationExecutor.java, line(s) 326
org/greenrobot/greendao/internal/LongHashMap.java, line(s) 61
org/greenrobot/greendao/query/QueryBuilder.java, line(s) 94,97
org/greenrobot/greendao/test/AbstractDaoTest.java, line(s) 24,27,56
org/greenrobot/greendao/test/AbstractDaoTestLongPk.java, line(s) 14,19
org/greenrobot/greendao/test/AbstractDaoTestSinglePk.java, line(s) 32
org/greenrobot/greendao/test/DbTest.java, line(s) 58
p/a/a/a/c.java, line(s) 91,92,97,101,103,105,107,125,126,150
p/a/a/a/q/a.java, line(s) 33,35
p/b/a/s0.java, line(s) 25,27,36,38,87,89,99,117,119,128,130,138,140
p/b/a/v.java, line(s) 304
p/b/c/e1/z.java, line(s) 112
p/b/c/f1/d.java, line(s) 409,462
p/b/c/m.java, line(s) 75,74
p/b/c/o.java, line(s) 86,41,81,85
p/c/a/g.java, line(s) 80,86
p/c/a/t/b.java, line(s) 42
p/c/a/t/e.java, line(s) 215
p/c/a/t/f.java, line(s) 30
p/d/l.java, line(s) 62,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,245,251,273
p/d/p.java, line(s) 43,51,59,67,75,83,91,99,118,143,163,164,165,166,167,168,175,177,178
p/g/a/b1/b.java, line(s) 340,341,366
p/g/a/b1/h.java, line(s) 265,266,267,268,269,278,294,371,390,403,415,418,423,489
p/j/i/m.java, line(s) 53,57,58
p/k/a/d.java, line(s) 25
p/k/a/g.java, line(s) 117
p/k/a/h.java, line(s) 28
r/t/f/g.java, line(s) 56
r/t/f/m.java, line(s) 21
r/w/c.java, line(s) 228
s/a/a/a/a/h.java, line(s) 202,204
s/a/a/a/a/p/a.java, line(s) 14,18,22,26,30,34,38,42,46,62,66,70,74,78,82

信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

CODE

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/picc/aasipods/common/view/adapter/TabRotationFocusAdapter.java, line(s) 4,91
com/picc/aasipods/module/policy/controller/MyNoCarPolicyDetailsNewNewActivity.java, line(s) 4,733
com/picc/aasipods/module/policy/controller/MyPolicyDetailFavGroupActivity.java, line(s) 5,1670
com/picc/aasipods/module/policy/controller/MyPolicyDetailFavMoreActivity.java, line(s) 4,1664
com/picc/aasipods/module/policy/controller/MyPolicyDetailsNewActivity.java, line(s) 4,951
com/picc/aasipods/module/policy/controller/RenrenAnkangPolicyDetailsActivity.java, line(s) 4,706

信息应用程序可以写入应用程序目录。敏感信息应加密

CODE

应用程序可以写入应用程序目录。敏感信息应加密


Files:
g/q/a/c/u/f/z4.java, line(s) 97,103

信息此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密

CODE

此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密


Files:
org/greenrobot/greendao/database/SqlCipherEncryptedHelper.java, line(s) 15,4,5

安全此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

CODE

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
cn/picclife/exocr/c/d/a.java, line(s) 41,41
cn/picclife/facelib/netcore/manager/NetManager.java, line(s) 40,40
com/picc/aasipods/common/utils/DateUtil.java, line(s) 206,207,260,132
com/picc/aasipods/module/home/ThemeActivityImp.java, line(s) 170,191,76,486
com/picc/aasipods/module/person/controller/TestActivity.java, line(s) 538,470
com/picc/aasipods/module/versionupdate/controller/VersionUpdateActivity.java, line(s) 649,684,825,395
g/a0/a/b/c/f.java, line(s) 102,100
g/j/d/a/a/k/j.java, line(s) 44,85,107,43,84,106,42,81,103
g/q/a/a/i/j.java, line(s) 35,55,68,81,92,35,55,68,81,92
g/q/a/c/k/a/a.java, line(s) 264,67
i/a/a/b/a.java, line(s) 762,328
p/b/c/c1.java, line(s) 163,161,138,160,160,175

安全此应用程序可能具有Root检测功能

CODE

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/picc/aasipods/common/utils/SecurityUtil.java, line(s) 103,83,103,103,103

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ozgrbdl.picccdn.cn) 通信。

DOMAINS

{'ip': '58.211.15.147', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bcrs-b.intsig.net) 通信。

DOMAINS

{'ip': '113.31.165.9', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apploan.picceloan.com) 通信。

DOMAINS

{'ip': '222.222.101.38', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (techapp.picctest.com.cn) 通信。

DOMAINS

{'ip': '111.203.158.19', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (appgallery.cloud.huawei.com) 通信。

DOMAINS

{'ip': '49.79.227.227', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。

DOMAINS

{'ip': '183.69.183.201', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wb.amap.com) 通信。

DOMAINS

{'ip': '159.226.242.43', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.picclife.cn) 通信。

DOMAINS

{'ip': '183.69.183.201', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-ai.cloudwalk.cn) 通信。

DOMAINS

{'ip': '159.226.242.43', 'country_short': 'CN', 'country_long': '中国', 'region': '重庆', 'city': '重庆', 'latitude': '29.562780', 'longitude': '106.553101'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ntsc.cas.cn) 通信。

DOMAINS

{'ip': '183.69.183.201', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cgicol.amap.com) 通信。

DOMAINS

{'ip': '159.226.242.43', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ntsc.ac.cn) 通信。

DOMAINS

{'ip': '159.226.242.43', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (w.1616.net) 通信。

DOMAINS

{'ip': '47.93.28.137', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。

DOMAINS

{'ip': '47.93.28.137', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mptst.picclife.cn) 通信。

DOMAINS

{'ip': '180.105.72.24', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '连云港', 'latitude': '34.600025', 'longitude': '119.166847'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test.mypicc.com.cn) 通信。

DOMAINS

{'ip': '202.108.173.180', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (development.mypicc.com.cn) 通信。

DOMAINS

{'ip': '60.10.27.108', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wx.tenpay.com) 通信。

DOMAINS

{'ip': '106.75.218.19', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bcrs.intsig.net) 通信。

DOMAINS

{'ip': '106.75.218.19', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zgrb.epicc.com.cn) 通信。

DOMAINS

{'ip': '222.222.65.246', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mdglfxpt.piccgroup.cn) 通信。

DOMAINS

{'ip': '222.222.65.238', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.picc.com) 通信。

DOMAINS

{'ip': '222.222.65.238', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.textin.com) 通信。

DOMAINS

{'ip': '120.132.12.74', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (adiu.amap.com) 通信。

DOMAINS

{'ip': '124.239.14.148', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '张家口', 'latitude': '40.810024', 'longitude': '114.879349'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mpsapi.amap.com) 通信。

DOMAINS

{'ip': '59.82.9.6', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (smsp.epicc.com.cn) 通信。

DOMAINS

{'ip': '157.122.153.79', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '中山', 'latitude': '22.520580', 'longitude': '113.382317'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e.picc.com) 通信。

DOMAINS

{'ip': '222.222.65.238', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mstatic.gzstv.com) 通信。

DOMAINS

{'ip': '122.228.207.52', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '温州', 'latitude': '27.999420', 'longitude': '120.666817'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ocrapi.picclife.cn) 通信。

DOMAINS

{'ip': '180.97.176.27', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.epicc.com.cn) 通信。

DOMAINS

{'ip': '60.10.22.231', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (download.intsig.net) 通信。

DOMAINS

{'ip': '106.75.218.19', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mtest.picclife.cn) 通信。

DOMAINS

{'ip': '180.97.176.24', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mdglfxptcs.picctest.com.cn) 通信。

DOMAINS

{'ip': '36.112.14.143', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.picchealth.com) 通信。

DOMAINS

{'ip': '36.112.14.143', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-ai.cloudwalk.com) 通信。

DOMAINS

{'ip': '183.69.183.201', 'country_short': 'CN', 'country_long': '中国', 'region': '重庆', 'city': '重庆', 'latitude': '29.562780', 'longitude': '106.553101'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (facetst.picclife.cn) 通信。

DOMAINS

{'ip': '180.97.176.25', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v.piccamc.com) 通信。

DOMAINS

{'ip': '180.166.182.142', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.picchealth.com) 通信。

DOMAINS

{'ip': '60.10.228.96', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '廊坊', 'latitude': '39.509720', 'longitude': '116.694717'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mp.picclife.cn) 通信。

DOMAINS

{'ip': '180.105.72.26', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '连云港', 'latitude': '34.600025', 'longitude': '119.166847'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (chezhuprod.aibaoxian.com) 通信。

DOMAINS

{'ip': '219.135.118.206', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '佛山', 'latitude': '23.026770', 'longitude': '113.131477'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (paytest.epicc.com.cn) 通信。

DOMAINS

{'ip': '114.247.181.221', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wx.picccdn.cn) 通信。

DOMAINS

{'ip': '58.211.15.147', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apistore.amap.com) 通信。

DOMAINS

{'ip': '49.79.227.241', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}

安全分析报告： 中国人保 v6.21.4

安全分数

安全分数 46/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危 基本配置不安全地配置为允许到所有域的明文流量。

高危 已启用远程WebView调试

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

高危 使用弱加密算法

高危 启用了调试配置。生产版本不能是可调试的

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击

中危 应用程序已启用明文网络流量

中危 Activity (com.picc.aasipods.module.person.controller.test.RSAActivity) 未被保护。

中危 Activity (com.picc.aasipods.module.person.controller.test.SMSCheckActivity) 未被保护。

中危 Activity (com.sensorsdata.analytics.android.sdk.dialog.SchemeActivity) 未被保护。

中危 Activity (com.picc.aasipods.module.person.controller.NewTestActivity) 未被保护。

中危 Activity设置了TaskAffinity属性

中危 Activity (com.picc.aasipods.module.launch.view.LinkDispatchActivity) 未被保护。

中危 Activity (com.picc.aasipods.third.jpush.HsmPushEmptyActivity) 未被保护。

中危 Activity设置了TaskAffinity属性

中危 Activity (com.cloudpower.netsale.activity.wxapi.WXEntryActivity) 未被保护。

中危 Activity (com.cloudpower.netsale.activity.wxapi.WXPayEntryActivity) 未被保护。

中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。

中危 Broadcast Receiver (com.picc.aasipods.third.push.VivoPushReceiver) 未被保护。

中危 Service (com.vivo.push.sdk.service.CommandClientService) 受权限保护, 但是应该检查权限的保护级别。

中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。

中危 Broadcast Receiver (com.picc.aasipods.third.jpush.MiPushMessageReceiver) 未被保护。

中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 受权限保护, 但是应该检查权限的保护级别。

中危 Activity设置了TaskAffinity属性

中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。

中危 Activity (com.darsh.multipleimageselect.activities.AlbumSelectActivity) 未被保护。

中危 Activity (com.darsh.multipleimageselect.activities.ImageSelectActivity) 未被保护。

中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。

中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。

中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。

中危 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危 SHA-1是已知存在哈希冲突的弱哈希

中危 IP地址泄露

中危 应用程序使用不安全的随机数生成器

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危 MD5是已知存在哈希冲突的弱哈希

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

中危 此应用程序可能会请求root（超级用户）权限

中危 应用程序包含隐私跟踪程序

中危 此应用可能包含硬编码机密信息

信息 应用程序记录日志信息,不得记录敏感信息

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

信息 应用程序可以写入应用程序目录。敏感信息应加密

信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

安全 此应用程序可能具有Root检测功能

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ozgrbdl.picccdn.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bcrs-b.intsig.net) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apploan.picceloan.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (techapp.picctest.com.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (appgallery.cloud.huawei.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wb.amap.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.picclife.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-ai.cloudwalk.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ntsc.cas.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cgicol.amap.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ntsc.ac.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (w.1616.net) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mptst.picclife.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test.mypicc.com.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (development.mypicc.com.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wx.tenpay.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bcrs.intsig.net) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zgrb.epicc.com.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mdglfxpt.piccgroup.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.picc.com) 通信。

安全分析报告：中国人保 v6.21.4

高危基本配置不安全地配置为允许到所有域的明文流量。

高危已启用远程WebView调试

高危应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

高危使用弱加密算法

高危启用了调试配置。生产版本不能是可调试的

高危如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView，那么这个应用程序可能会遭受跨站脚本攻击

中危应用程序已启用明文网络流量

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危应用程序使用不安全的随机数生成器

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危不安全的Web视图实现。可能存在WebView任意代码执行漏洞

中危应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

中危此应用程序可能会请求root（超级用户）权限

中危应用程序包含隐私跟踪程序

中危此应用可能包含硬编码机密信息

信息应用程序记录日志信息,不得记录敏感信息

信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

信息应用程序可以写入应用程序目录。敏感信息应加密

信息此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密

安全此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

安全此应用程序可能具有Root检测功能

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ozgrbdl.picccdn.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bcrs-b.intsig.net) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apploan.picceloan.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (techapp.picctest.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (appgallery.cloud.huawei.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wb.amap.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.picclife.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-ai.cloudwalk.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ntsc.cas.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cgicol.amap.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ntsc.ac.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (w.1616.net) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mptst.picclife.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (test.mypicc.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (development.mypicc.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wx.tenpay.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bcrs.intsig.net) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zgrb.epicc.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mdglfxpt.piccgroup.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.picc.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.textin.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (adiu.amap.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mpsapi.amap.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (smsp.epicc.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e.picc.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mstatic.gzstv.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ocrapi.picclife.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.epicc.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (download.intsig.net) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mtest.picclife.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mdglfxptcs.picctest.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.picchealth.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-ai.cloudwalk.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (facetst.picclife.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v.piccamc.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.picchealth.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mp.picclife.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (chezhuprod.aibaoxian.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (paytest.epicc.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wx.picccdn.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apistore.amap.com) 通信。