移动应用安全检测报告: 91Porn v1.1.8

安全基线评分


安全基线评分 48/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

0

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 5
中危安全漏洞 19
安全提示信息 1
已通过安全项 3
重点安全关注 3

高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危安全漏洞 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 

应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
com/caoliu/module_mine/gesture/activities/GestureSettingsActivity.java, line(s) 74
o/Cdo.java, line(s) 16
p/Cdo.java, line(s) 15

高危安全漏洞 该文件是World Readable。任何应用程序都可以读取文件 

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
p033throws/Cdo.java, line(s) 134

高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
com/caoliu/lib_common/Cclass.java, line(s) 68,103,13,14,15,16,17,18
com/caoliu/lib_common/CdnUtils.java, line(s) 295,27,28,29,30,31,32
com/caoliu/module_main/square/detail/DynamicDetailActivity$setNormalUi$4.java, line(s) 61,17,18,19

高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/caoliu/lib_common/entity/DataBindingComponent.java, line(s) 760,13

中危安全漏洞 应用数据允许备份 

[android:allowBackup=true]
该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。

中危安全漏洞 Service (com.hydarey.gfhsre.CompressAndUpdateService) 未受保护。 

[android:exported=true]
检测到  Service 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityWb) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityZyb) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityKs) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityTwitter) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityYcxy) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityYfd) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityZh) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.NewActivityZssq) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (com.hydarey.gfhsre.DefaultAlias) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/zaaach/citypicker/CityPickerDialogFragment.java, line(s) 8,114,239
d1/Cfor.java, line(s) 7,43
d1/Cif.java, line(s) 6,7,30
t2/Celse.java, line(s) 6,7,75,76,173
t2/Cif.java, line(s) 6,80,81

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
a7/Cdo.java, line(s) 4
b1/Cinstanceof.java, line(s) 12
c2/Cprivate.java, line(s) 4,145,146
com/caoliu/lib_common/widget/SwipeCaptchaView.java, line(s) 26

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/caoliu/module_main/Celse.java, line(s) 88
com/lxj/xpopup/util/Cclass.java, line(s) 41,64
com/zxy/recovery/tools/Cfor.java, line(s) 82
p0/Cnew.java, line(s) 19
v/Cbreak.java, line(s) 34,98
v/Celse.java, line(s) 160,154
v/Cnew.java, line(s) 7

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
app/rive/runtime/module_pa/Cdo.java, line(s) 214
com/opensource/svgaplayer/SVGACache.java, line(s) 38

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/caoliu/lib_common/entity/DatasDictionaryRequest.java, line(s) 48
com/caoliu/lib_utils/event/BaoScrollEvent.java, line(s) 49

中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/just/agentweb/AgentWeb.java, line(s) 191,129

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/just/agentweb/AgentWeb.java, line(s) 149,129
es/dmoral/markdownview/MarkdownView.java, line(s) 61,60

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1"
GcgzsKdDZTumABNz7uujrCfPIk9TQ355
4c053e1ca87d459ea9d19b73d7297a0f
ab677a736f1605f3131b7c5c43ada799

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a/Celse.java, line(s) 227,286,493,261
a/Cfinal.java, line(s) 74,75
a/Cimport.java, line(s) 150,117,147,175,189,118,176,192
app/a/module_stream/Cdo.java, line(s) 160
app/rive/runtime/module_pa/Cdo.java, line(s) 692
b4/Cdo.java, line(s) 16
com/caoliu/lib_common/Cclass.java, line(s) 77,112
com/caoliu/lib_common/CdnUtils.java, line(s) 304
com/caoliu/lib_common/Cthis.java, line(s) 43,53
com/caoliu/lib_common/dialog/SeekVerifyDialog.java, line(s) 75,84
com/caoliu/lib_common/widget/Cif.java, line(s) 17
com/caoliu/lib_common/widget/SwipeCaptchaView.java, line(s) 125,149,150
com/caoliu/lib_jzvideo/ijk/JZMediaNoVoiceExo.java, line(s) 170,275,286,311,361,388,440,446
com/caoliu/module_main/square/detail/DynamicDetailActivity$setNormalUi$4.java, line(s) 70
com/caoliu/module_main/view/RangeSeekBar.java, line(s) 248,366,431
com/caoliu/module_mine/gesture/customView/PatternIndicatorView.java, line(s) 110,114,167,170,174
com/caoliu/module_mine/gesture/customView/PatternLockerView.java, line(s) 187,191,259,262,266
com/cjt2325/cameralibrary/CaptureButton.java, line(s) 129,134
com/davemorrissey/labs/subscaleview/SubsamplingScaleImageView.java, line(s) 644,212,216,392,396,464,802,807,818,827,1537,1746,2075
com/davemorrissey/labs/subscaleview/decoder/SkiaPooledImageRegionDecoder.java, line(s) 124
com/drake/brv/BindingAdapter.java, line(s) 446
com/just/agentweb/AgentWebView.java, line(s) 38,126
com/lxj/xpopup/util/Ccase.java, line(s) 77
com/lxj/xpopup/util/KeyboardUtils.java, line(s) 54
com/lxj/xpopup/util/XPermission.java, line(s) 97
com/lxj/xpopup/widget/SmartDivider.java, line(s) 29
com/makeramen/roundedimageview/RoundedImageView.java, line(s) 313,383
com/wang/avi/AVLoadingIndicatorView.java, line(s) 338
com/yalantis/ucrop/UCropActivity.java, line(s) 401
com/yalantis/ucrop/view/TransformImageView.java, line(s) 143,182,225
d/Cgoto.java, line(s) 58,110,111,59
h/Cdo.java, line(s) 37,40
i4/Cif.java, line(s) 53
o7/Cnew.java, line(s) 38
p0/Cdo.java, line(s) 45,49,60,64,96,118
p000abstract/Cbreak.java, line(s) 96,81
p000abstract/Ctry.java, line(s) 38,69,101,120,130,70,121,39,102,133
p006continue/Cdo.java, line(s) 109,108
p007default/Cdo.java, line(s) 306
p009extends/Cnew.java, line(s) 195,225,192,224
p009extends/Ctry.java, line(s) 141,161,178,140,160,177
p010extends/Cnew.java, line(s) 195,225,192,224
p010extends/Ctry.java, line(s) 608,628,645,607,627,644
p011finally/Cdo.java, line(s) 91,90
p012finally/Cdo.java, line(s) 93,92
p015instanceof/Cdo.java, line(s) 77,115,122,129,85,118,125,132
p015instanceof/Cfor.java, line(s) 27,28
p015instanceof/Cgoto.java, line(s) 54,55
p016interface/Cdo.java, line(s) 80,91
p017instanceof/Cdo.java, line(s) 77,115,122,129,85,118,125,132
p017instanceof/Cfor.java, line(s) 27,28
p017instanceof/Cgoto.java, line(s) 54,55
p018interface/Cdo.java, line(s) 80,91
p020private/Cdo.java, line(s) 107,106
p022private/Cdo.java, line(s) 136,181,218,135,180,217
p025strictfp/Ccase.java, line(s) 87,86
p025strictfp/Cfor.java, line(s) 19,18
p025strictfp/Cnative.java, line(s) 110,111
p025strictfp/Cnew.java, line(s) 49,48
p025strictfp/Cpublic.java, line(s) 43,42
p026super/Cif.java, line(s) 17
p027strictfp/Ccase.java, line(s) 87,86
p027strictfp/Cfor.java, line(s) 19,18
p027strictfp/Cnative.java, line(s) 110,111
p027strictfp/Cnew.java, line(s) 49,48
p027strictfp/Cpublic.java, line(s) 43,42
p028super/Cif.java, line(s) 17
p031throws/Cdo.java, line(s) 51
p033throws/Cdo.java, line(s) 124,154,168,187,63,115,132,159,178
r4/Cdo.java, line(s) 170
r7/Ccase.java, line(s) 10,15
t4/Ccase.java, line(s) 91,92,93,97,49
top/zibin/luban/Celse.java, line(s) 113,110
top/zibin/luban/Checker.java, line(s) 147,161,189,197,201
u2/Cthrow.java, line(s) 71,64,83,17
u5/Cif.java, line(s) 44,108,114,123,130,145
v/Cthis.java, line(s) 57,105
v0/Cif.java, line(s) 176
v5/Cfor.java, line(s) 83,87,96,116,138,168,181,187,44,80,86,89,95,113,135,148,163,177,180,183,186,189
x4/Cif.java, line(s) 83,101,102,124,125
y4/Cif.java, line(s) 28,13

已通过安全项 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/caoliu/lib_common/manager/BaseRetrofit.java, line(s) 65

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/caoliu/lib_common/manager/Ctry.java, line(s) 14,13,12,12
n7/Celse.java, line(s) 69,68,67,67
n7/Cfor.java, line(s) 70,69,68
n7/Cgoto.java, line(s) 110,98,109,108,108
n7/Cnew.java, line(s) 100,90,99,106,98,98

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (s3.ap-east-1.amazonaws.com) 通信。 

{'ip': '3.5.239.245', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (52kbhl.com) 通信。 

{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ikb66.com) 通信。 

{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

综合安全基线评分: ( 91Porn 1.1.8)