安全分析报告: ZASH LOAN v1.8.9

安全分数


安全分数 48/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

5

用户/设备跟踪器


调研结果

高危 5
中危 26
信息 3
安全 3
关注 1

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/module/library/webview/AbsWebViewFragment.java, line(s) 106,16,17

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/finance/webview/WebviewFragment.java, line(s) 285,342

高危 使用弱加密算法 

使用弱加密算法
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/module/commonutils/encryption/DES.java, line(s) 17,24
com/module/network/utils/cipher/DES.java, line(s) 17,24

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/finance/stage/biometric/IBiometric.java, line(s) 63

高危 应用程序包含隐私跟踪程序 

此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 Broadcast Receiver (com.finance.chief.receiver.SmsReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.finance.chief.receiver.LocaleChangeReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.finance.chief.receiver.AppReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.finance.stage.thirdpart.InstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.INSTALL_PACKAGES [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Content Provider (com.facebook.FacebookContentProvider) 未被保护。 

[android:exported=true]
发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.finance.chief.view.MainActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.finance.chief.SchameFilterActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.finance.oneself.broadcast.MySMSBroadcastReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.gms.auth.api.phone.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.facebook.CustomTabActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 高优先级的Intent (1000) - {1} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/finance/stage/utils/DigestUtils.java, line(s) 13
com/module/autotrack/core/UuidHelper.java, line(s) 122
com/module/autotrack/encryption/MD5.java, line(s) 63,97,116
com/module/autotrack/utils/SecretUtil.java, line(s) 133
com/module/collect/TelephonyInfo.java, line(s) 315
com/module/collect/s.java, line(s) 253
com/module/commonutils/encryption/MD5.java, line(s) 63,97,116
com/module/commonutils/general/FileUtils.java, line(s) 599
com/module/network/utils/cipher/MD5.java, line(s) 60,94,113
com/module/share/manager/ImageCacheManager.java, line(s) 35
com/module/toolbox/util/Util.java, line(s) 93
com/module/weex/util/CommonUtils.java, line(s) 131
io/grpc/okhttp/internal/Util.java, line(s) 146

中危 IP地址泄露 

IP地址泄露


Files:
com/module/permission/BuildConfig.java, line(s) 8
com/module/permission/cheaker/n.java, line(s) 21
com/module/toolbox/BuildConfig.java, line(s) 9
com/netdiagnose/LDNetDiagnoService/LDNetDiagnoService.java, line(s) 178,168,272,273

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/finance/oneself/ext/AccountCaptchaDialog.java, line(s) 8
com/finance/oneself/widget/captcha/SwipeCaptchaView.java, line(s) 21
com/module/autotrack/core/UuidHelper.java, line(s) 20
com/module/commonutils/general/StringUtil.java, line(s) 22
com/module/library/image/compress/PhotoCompress.java, line(s) 21
com/module/network/utils/PwdManager.java, line(s) 3
com/module/platform/helper/UuidHelper.java, line(s) 15
com/module/toolbox/monitor/reporter/FpsSampleReporter.java, line(s) 9
com/module/toolbox/monitor/reporter/ProfilerSampleReporter.java, line(s) 12
io/grpc/internal/DnsNameResolver.java, line(s) 31
io/grpc/internal/ExponentialBackoffPolicy.java, line(s) 6
io/grpc/internal/i0.java, line(s) 24
io/grpc/okhttp/e.java, line(s) 65
io/grpc/util/a.java, line(s) 21

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/finance/stage/utils/FileChooseUtil.java, line(s) 160
com/module/autotrack/core/UuidHelper.java, line(s) 165,184
com/module/autotrack/utils/ScreenshotUtil.java, line(s) 56
com/module/camera/util/FileUtil.java, line(s) 58
com/module/commonutils/general/SDCardUtils.java, line(s) 44,95
com/module/library/cache/DiskCache.java, line(s) 55
com/module/library/webview/FileChooseHelper.java, line(s) 114
com/module/permission/cheaker/p.java, line(s) 23,26
com/module/permission/cheaker/q.java, line(s) 24,27
com/module/platform/helper/UuidHelper.java, line(s) 116,135
com/module/upgrade/core/UpgradeAgent.java, line(s) 256
com/module/upgrade/utils/FileUtilsKt.java, line(s) 54
com/vise/log/inner/FileTree.java, line(s) 60

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/module/autotrack/encryption/SHA.java, line(s) 36
com/module/commonutils/encryption/SHA.java, line(s) 36
com/module/network/utils/cipher/SHA.java, line(s) 35
com/module/network/verifier/SslPinningVerifier.java, line(s) 28
io/grpc/okhttp/internal/Util.java, line(s) 156,164

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/finance/bazaar/util/FacebookDeeplinkKt.java, line(s) 15
com/finance/oneself/constant/ApiUrl.java, line(s) 9,21,25,11
com/finance/oneself/module/verify/sms/SmsViewModel.java, line(s) 37
com/finance/oneself/module/verify/sms/SmsViewNewModel.java, line(s) 38
com/finance/stage/bean/PDFFileInfo.java, line(s) 121
com/finance/stage/bean/PdfDocument.java, line(s) 177
com/finance/stage/contants/SensorsEventKey.java, line(s) 22,112
com/finance/stage/contants/SensorsPropertiesValue.java, line(s) 52
com/finance/stage/track/AutoTrackConstants.java, line(s) 40,133
com/module/autotrack/constant/Constant.java, line(s) 11
com/module/commonutils/constant/RegexConstants.java, line(s) 22
com/module/commonutils/encryption/RSA.java, line(s) 20,21
com/module/network/utils/cipher/RSA.java, line(s) 20,21
com/module/toolbox/flieexplorer/BundleKey.java, line(s) 6,7
com/module/toolbox/global/Config.java, line(s) 25
io/grpc/internal/TransportFrameUtil.java, line(s) 85

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/module/library/webview/AbsWebViewFragment.java, line(s) 63,67,234

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/module/library/webview/AbsWebViewFragment.java, line(s) 242,234

中危 此应用程序可能会请求root(超级用户)权限 

此应用程序可能会请求root(超级用户)权限
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/module/guard/rootbeer/Const.java, line(s) 4,4,4,6,4,6,4,4

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/module/autotrack/data/db/DBManager.java, line(s) 6,7,157

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"account_modify_pwd_success" : "Success"
"adjust_app_token" : "fvdq1b83vp4w"
"facebook_app_id" : "2399743470081837"
"firebase_database_url" : "https://kopakash-a7238.firebaseio.com"
"google_api_key" : "AIzaSyA2scDzBB_Fud9kXNLK-BDD9_QNE8V0h5Y"
"google_app_id" : "1:1074203832538:android:931c2b3ac9d4c9d55f35e3"
"google_crash_reporting_api_key" : "AIzaSyA2scDzBB_Fud9kXNLK-BDD9_QNE8V0h5Y"
"setting_biometric_authenticate_close_title" : "Close"
"umeng_app_key" : "5cecfce03fc195bde40002ea"
4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5
9F744E9F2B4DBAEC0F312C50B6563B8E2D93C311
4CDD51A3D1F5203214B0C6C532230391C746426D
67650DF17E8E7E5B8240A4F4564BCFE23D69C6F0
6E2664F356BF3455BFD1933F7C01DED813DA8AA6
0F36385B811A25C39B314E83CAE9346670CC74B4
010C0695A6981914FFBF5FC6B0B695EA29E912A6
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
743AF0529BD032A0F44A83CDD4BAA97B7C2EC49A
F18B538D1BE903B6A6F056435B171589CAF36BF2
36B12B49F9819ED74C9EBC380FC6568F5DACB2F7
039EEDB80BE7A03C6953893B20D2D9323A4C2AFD
F6108407D6F8BB67980CC2E244C2EBAE1CEF63BE
9b8f518b086098de3d77736f9458a3d2f6f95a37
20D80640DF9B25F512253A11EAF7598AEB14B547
74F8A3C3EFE7B390064B83903C21646020E5DFCE
5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25
B80186D1EB9C86A54104CF3054F34C52B7E558C6
df6b721c8b4d3b6eb44c861d4415007e5a35fc95
cc2751449a350f668590264ed76692694a80308a
CABD2A79A1076A31F21D253635CB039D4329A5E8
22FDD0B7FDA24E0DAC492CA0ACA67B6A1FE3F766
DAC9024F54D8F6DF94935FB1732638CA6AD77C13
7991E834F7E2EEDD08950152E9552D14E958D57E
B12E13634586A46F1AB2606837582DC4ACFD9497
0D44DD8C3C8C1A1A58756481E90F2E2AFFB3D26E
5F43E5B1BFF8788CAC1CC7CA4A9AC6222BCC34C6
2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E
58E8ABB0361533FB80F79B1B6D29D3FF8D5F00F0
3679CA35668772304D30A5FB873B0FA77BB70D54
293621028B20ED02F566C532D1D6ED909F45002F
CF9E876DD3EBFC422697A3B5A37AA076A9062348
89DF74FE5CF40F4A80F9E3377D54DA91E101318E
FE45659B79035B98A161B5512EACDA580948224D
B8BE6DCB56F155B963D412CA4E0634C794B21CC0
D8A6332CE0036FB185F6634F7D6A066526322827
70179B868C00A4FA609152223F9F3E32BDE00562
96C91B0B95B4109842FAD0D82279FE60FAB91683
B1BC968BD4F49D622AA89A81F2150152A41D829C
4313BB96F1D5869BC14E6A92F6CFF63469878237
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqE/7xHC6rniu6YvaeO482ojvDqJZSzIKGMSexwaYlGTM4Zgl8lLx9JYOecqS6xppejYOMFQxoC5TOFegShDeHqR40T7Ar4U+0atfLCukDZY0IKq9FMKWY3mzsu5ex1YUV2qmeaK+nUIMRhKD4szpNGziL2xEXCSyCI3G2RO0MBwIDAQAB
C418F64D46D1DF003D2730137243A91211C675FB
379A197B418545350CA60369F33C2EAF474F2079
5A8CEF45D7A69859767A8C8B4496B578CF474B1A
06083F593F15A104A069A46BA903D006B7970991
6631BF9EF74F9EB6C9D5A60CBA6ABED1F7BDEF7B
795F8860C5AB7C3D92E6CBF48DE145CD11EF600B
8CF427FD790C3AD166068DE81E57EFBB932272D4
3BC0380B33C3F6A60C86152293D9DFF54B81C004
28903A635B5280FAE6774C0B6DA7D6BAA64AF2E8
1E0E56190AD18B2598B20444FF668A0417995F3F
7E04DE896A3E666D00E687D33FFAD93BE83D349E
6E3A55A4190C195C93843CC0DB722E313061F0B1
2796BAE63F1801E277261BA0D77770028F20EEE4
59AF82799186C7B47507CBCF035746EB04DDB716
B561EBEAA4DEE4254B691A98A55747C234C7D971
CA3AFBCF1240364B44B216208880483919937CF7
EC503507B215C4956219E2A89A5B42992C4C2C20
FAB7EE36972662FB2DB02AF6BF03FDE87C4B2F9B
8a3c4b262d721acd49a4bf97d5213199c86fa2b9
D1CBCA5DB2D52A7F693B674DE5F05A1D0C957DF0
590D2D7D884F402E617EA562321765CF17D894E9
1F24C630CDA418EF2069FFAD4FDD5F463A1B69AA
132D0D45534B6997CDB2D5C339E25576609B5CC6
22D5D8DF8F0231D18DF79DB7CF8A2D64C93F6C3A
E2B8294B5584AB6B58C290466CAC3FB8398F8483
8782C6C304353BCFD29692D2593E7D44D934FF11
B7AB3308D1EA4477BA1480125A6FBDA936490CBB
1F4914F7D874951DDDAE02C0BEFD3A2D82755185
DE3F40BD5093D39B6C60F6DABC076201008976C9
8E1C74F8A620B9E58AF461FAEC2B4756511A52C6
8DA7F965EC5EFC37910F1C6E59FDC1CC6A6EDE16
0FF9407618D3D76A4B98F0A8359E0CFD27ACCCED
a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc
F373B387065A28848AF2F34ACE192BDDC78E9CAC
8D1784D537F3037DEC70FE578B519A99E610D7B0
37F76DE6077C90C5B13E931AB74110B4F2E49A27
4F658E1FE906D82802E9544741C954255D69CC1A
55A6723ECBF2ECCDC3237470199D2ABE11E381D1
F48B11BFDEABBE94542071E641DE6BBE882B40B9
C9A8B9E755805E58E35377A725EBAFC37B27CCD7
B31EB1B740E36C8402DADC37D44DF5D4674952F9
2BB1F53E550C1DC5F1D4E6B76A464B550602AC21
1B8EEA5796291AC939EAB80A811A7373C0937967
4ABDEEEC950D359C89AEC752A12C5B29F6D6AA0C
9D70BB01A5A4A018112EF71C01B932C534E788A8
3143649BECCE27ECED3A3F0B8F0DE4E891DDEECA
D69B561148F01C77C54578C10926DF5B856976AD
AEC5FB3FC8E1BFC4E54F03075A9AE800B7F7B6FA
6969562E4080F424A1E7199F14BAF3EE58AB6ABB
BA29416077983FF4F3EFF231053B2EEA6D4D45FD
02FAF3E291435468607857694DF5E45B68851868
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
925A8F8D2C6D04E0665F596AFF22D863E8256F3F
490A7574DE870A47FE58EEF6C76BEBC60B124099
85A408C09C193E5D51587DCDD61330FD8CDE37BF
2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3
FEB8C432DCF9769ACEAE3DD8908FFD288665647D
4812BD923CA8C43906E7306D2796E6A4CF222E7D
47BEABC922EAE80E78783462A79F45C254FDE68B
2F783D255218A74A653971B52CA29C45156FE919
AD7E1C28B064EF8F6003402014C3D0E3370EB58A
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
D8C5388AB7301B1B6ED47AE645253A6F9F1A2761
9FF1718D92D59AF37D7497B4BC6F84680BBAB666
251bc91eee708abf8a16ef81dcc0ce39f3e5b4ed20cdda67e654998e048ff1c6da554a357c2c7367e451f905ac0444ab
F517A24F9A48C6C9F8A200269FDC0F482CAB3089
76E27EC14FDB82C1C0A675B505BE3D29B4EDDBBB
323C118E1BF7B8B65254E2E2100DD6029037F096
93057A8815C64FCE882FFA9116522878BC536417
64f3a97154bd9108d869849e111874d0ad771b3cd47db9588b6ca20da915ec09914d6959f8806d68b59947f2ec1d32a6
DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
5e8f16062ea3cd2c4a0d547876baa6f38cabf625
5922A1E15AEA163521F898396A4646B0441B0FA9
B8236B002F1D16865301556C11A437CAEBFFC3BB
DF717EAA4AD94EC9558499602D48DE5FBCF03A25
9CBB4853F6A4F6D352A4E83252556013F5ADAF65
093C61F38B8BDC7D55DF7538020500E125F5C836
75E0ABB6138512271C04F85FDDDE38E4B7242EFE
AADBBC22238FC401A127BB38DDF41DDB089EF012
F9B5B632455F9CBEEC575F80DCE96E2CC7B278B7
07E032E020B72C3F192F0628A2593A19A70F069E
786A74AC76AB147F9C6A3050BA9EA87EFE9ACE3C
51C6E70849066EF392D45CA00D6DA3628FC35239
91C6D6EE3E8AC86384E548C299295C756C817B81
58D1DF9595676B63C0F05B1C174D8B840BC878BD
5F3B8CF2F810B37D78B4CEEC1919C37334B9C774
D6DAA8208D09D2154D24B52FCB346EB258B28A58
9BAAE59F56EE21CB435ABE2593DFA7F040D11DCB
B51C067CEE2B0C3DF855AB2D92F4FE39D4E70F0E
E621F3354379059A4B68309D8A2F74221587EC79
503006091D97D4F5AE39F7CBE7927D7D652D3431
A14B48D943EE0A0E40904F3CE0A4C09193515D3F
3BC49F48F8F373A09C1EBDF85BB1C365C7D811B3
DAFAF7FA6684EC068F1450BDC7C281A5BCA96457
D8EB6B41519259E0F3E78500C03DB68897C9EEFC
D3DD483E2BBF4C05E8AF10F5FA7626CFD3DC3092
FFBDCDE782C8435E3C6F26865CCAA83A455BC30A
D4DE20D05E66FC53FE1A50882C78DB2852CAE474
74207441729CDD92EC7931D823108DC28192E2BB
339B6B1450249B557A01877284D9E02FC3D2D8E9
D1EB23A46D17D68FD92564C2F1F1601764D8E349
C3197C3924E654AF1BC4AB20957AE2C30E13026A
3A44735AE581901F248661461E3B9CC45FF53A1B
E252FA953FEDDB2460BD6E28F39CCCCF5EB33FDE
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/drakeet/multitype/MultiTypeAdapter.java, line(s) 46
com/finance/bazaar/floating/adapter/FloatingLayerAdapter.java, line(s) 62,79
com/finance/chief/base/KKBRHApplication.java, line(s) 248,261
com/finance/chief/receiver/LocaleChangeReceiver.java, line(s) 13
com/finance/faith/upload/UploadFileManager.java, line(s) 101
com/finance/lend/module/loan/view/LoanFormActivity.java, line(s) 747,785,847
com/finance/lend/module/loan/viewmodel/LoanAllViewModel.java, line(s) 1532
com/finance/lend/module/loan/viewmodel/LoanFormViewModel.java, line(s) 190,202,220,240,252,263,283,302,314,354,384,396,432,444,455,475,490,502,529,541,552,577,589,602,631,646,658,675,687,705,861,920,952,965,1002,1011,1024,1066,1082,1136
com/finance/lend/router/LoanProviderImpl.java, line(s) 27
com/finance/oneself/broadcast/MySMSBroadcastReceiver.java, line(s) 28
com/finance/oneself/module/register/model/RegisterImpl.java, line(s) 132
com/finance/oneself/module/verify/sms/SmsViewModel.java, line(s) 177,186
com/finance/oneself/module/verify/sms/SmsViewNewModel.java, line(s) 178,187
com/finance/oneself/view/AppealActivity.java, line(s) 201,210
com/finance/oneself/view/ForgetPwdStep2Activity.java, line(s) 211,216
com/finance/oneself/view/ForgotPasswordActivity.java, line(s) 132,137
com/finance/oneself/view/LoginWithCodeActivity.java, line(s) 188,193
com/finance/oneself/view/RegisterActivity.java, line(s) 163,168
com/finance/oneself/view/RegisterStep2Activity.java, line(s) 205,210,303,307,311
com/finance/oneself/viewmodel/ForgetPwdStep1ViewModel.java, line(s) 61,73,85,111,123,142,214,223
com/finance/oneself/viewmodel/LoginViewModel.java, line(s) 71,83,101,122,132,144,202,276
com/finance/oneself/viewmodel/LoginWithoutPwdViewModel.java, line(s) 43,55,74,89
com/finance/oneself/viewmodel/RegisterStep1ViewModel.java, line(s) 84,96,107,160,172,190,211,221,233,260,275,311,374,404,429
com/finance/oneself/viewmodel/RegisterStep2ViewModel.java, line(s) 51,63,83,145
com/finance/oneself/viewmodel/RegisterStep3ViewModel.java, line(s) 82,94,113,142
com/finance/oneself/widget/captcha/SwipeCaptchaView.java, line(s) 99,102,110
com/finance/personal/view/ContractDownloadActivity.java, line(s) 161,186
com/finance/stage/track/BaseTrackEventActivity.java, line(s) 17,26,45,58,72,87,101,196,237
com/finance/stage/track/ReportAutoTrack.java, line(s) 60,82,102
com/finance/stage/utils/CustomProgressUtils.java, line(s) 172,183
com/finance/stage/utils/ExceptionLogUtils.java, line(s) 25
com/finance/stage/utils/FileChooseUtil.java, line(s) 243
com/finance/stage/utils/a.java, line(s) 53
com/finance/stage/utils/b.java, line(s) 53
com/finance/stage/weiget/XEditText.java, line(s) 319
com/finance/webview/bridge/WeexDowngradeBridge.java, line(s) 124,199,449,454,476,481,486
com/finance/weex/WeexFragment.java, line(s) 293,583
com/finance/weex/growingio/WeexGrowingioModule.java, line(s) 59
com/finance/weex/weex/LoadTask.java, line(s) 94,101
com/finance/weex/weex/LoadTaskDispatcher.java, line(s) 23
com/finance/weex/weex/NavigatorModule.java, line(s) 274,279,284,298,307,312,317,339,515
com/module/autotrack/core/CoreAppState.java, line(s) 70
com/module/autotrack/core/SuperFragment.java, line(s) 36
com/module/autotrack/data/db/DBManager.java, line(s) 111
com/module/autotrack/data/net/HttpManager.java, line(s) 24
com/module/autotrack/data/task/EventReportTask.java, line(s) 33
com/module/autotrack/gio/viewmodel/GIOReportViewModel.java, line(s) 66
com/module/autotrack/utils/ArgumentChecker.java, line(s) 25,41,47,51,87,93,105
com/module/autotrack/utils/LogUtil.java, line(s) 18,89,24,71,77,83
com/module/autotrack/utils/SecretUtil.java, line(s) 70,95,101
com/module/autotrack/utils/Util.java, line(s) 115
com/module/camera/CameraView.java, line(s) 56,180,189,254,259,273,280,285,290,297,300,303,320
com/module/camera/a.java, line(s) 158,170,175,190,195,226,283,368,480,610,694,712,745,70,84,97,263,267,285,354,364,406,461,467,469,509,516,522,528,533,540,549,558,569,580,592,598,672,680,702,723,788,792,796,803
com/module/camera/b.java, line(s) 193,198,360,366,369,373,376,379,615,621,633,640,645,654,660,666,670,677,88,116,122,132,134,169,200,391,420,429,439,449,461,465,468,525,568,599,608,625,758,797,65,76,82,94,107,125,181,206,219,300,412,435,457,530,533,535,563,581,586,590,720,724,728,739,835,839,841,844
com/module/camera/core/CameraLayout.java, line(s) 350,328
com/module/camera/core/CameraSelfLayout.java, line(s) 322,310
com/module/camera/core/CameraSelfVerticalLayout.java, line(s) 306,299
com/module/camera/j.java, line(s) 79,87,94
com/module/collect/f.java, line(s) 12,22,34,40,46
com/module/commonutils/general/AppUtil.java, line(s) 42,166,177
com/module/commonutils/general/DateUtil.java, line(s) 75,98,112,240,255,276,362
com/module/commonutils/general/ProcessUtils.java, line(s) 50
com/module/commonutils/general/SpanUtils.java, line(s) 996,1006
com/module/eventcenter/bus/Logger.java, line(s) 28,33
com/module/eventcenter/bus/util/ErrorDialogConfig.java, line(s) 45
com/module/eventcenter/bus/util/ErrorDialogManager.java, line(s) 168
com/module/eventcenter/bus/util/ExceptionToResourceMapping.java, line(s) 30
com/module/flyco/dialog/widget/base/BaseDialog.java, line(s) 74,111,149,178,206,212,218,231
com/module/library/cache/DiskCache.java, line(s) 96,110,186,201
com/module/library/cache/DiskLruCache.java, line(s) 624
com/module/network/cookie/CookiesStore.java, line(s) 83,66,69
com/module/network/exception/ApiException.java, line(s) 88
com/module/network/utils/AESEncrypt.java, line(s) 63,88,94
com/module/platform/global/AppManager.java, line(s) 38
com/module/platform/strategy/imageload/GlideLoader.java, line(s) 92
com/module/push/sdk/PushModuleLogger.java, line(s) 11,23,17,29
com/module/toolbox/databinding/ActivityToolboxLayoutBindingImpl.java, line(s) 301,308,391,398
com/module/toolbox/util/LoggerUtil.java, line(s) 10,16,22,28,34
com/module/weex/cahce/DiskLruCache.java, line(s) 625
com/module/weex/core/ZWXSDKInstance.java, line(s) 45,54,64,70,73
com/module/weex/core/ZWeexManager.java, line(s) 93,97,103,121,125,131,138,142,148
com/module/weex/ui/AbsWeexFragment.java, line(s) 70
com/module/weex/util/CommonUtils.java, line(s) 85,89,91,74,77
com/netdiagnose/LDNetDiagnoService/LDNetDiagnoService.java, line(s) 236
com/vise/log/inner/ConsoleTree.java, line(s) 6
com/vise/log/inner/FileTree.java, line(s) 61
com/vise/log/inner/LogcatTree.java, line(s) 13,22,16,10,19,25
io/grpc/internal/y.java, line(s) 1491
io/grpc/okhttp/internal/Platform.java, line(s) 453
org/greenrobot/eventbus/Logger.java, line(s) 35,40

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/finance/stage/utils/CommonUtils.java, line(s) 6,31,41,33
com/finance/stage/weiget/XEditText.java, line(s) 4,493
com/module/commonutils/general/ClipboardUtils.java, line(s) 4,15,19,23
com/module/toolbox/ui/DeviceAndAppInfoActivity.java, line(s) 4,118,120
com/module/toolbox/ui/LogDetailsActivity.java, line(s) 4,30,32

信息 应用与Firebase数据库通信 

该应用与位于 https://kopakash-a7238.firebaseio.com 的 Firebase 数据库进行通信

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/finance/weex/weex/WeexNetEngine.java, line(s) 23,23
com/module/network/core/NetEngine.java, line(s) 141,141
com/module/toolbox/service/RetrofitClient.java, line(s) 39,40,42,39,40

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/module/guard/rootbeer/RootBeer.java, line(s) 204

安全 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/1074203832538/namespaces/firebase:fetch?key=AIzaSyA2scDzBB_Fud9kXNLK-BDD9_QNE8V0h5Y ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zrb-t154.zhenrongbao.com) 通信。 

{'ip': '112.126.83.163', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

安全评分: ( ZASH LOAN 1.8.9)