安全分析报告:
安全分数
安全分数 44/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
3
中危
10
信息
2
安全
1
关注
3
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/AgentWeb.java, line(s) 238,12,13 com/just/agentweb/LoaderImpl.java, line(s) 99,103,5
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/king/app/updater/http/HttpManager.java, line(s) 149,15
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/example/xu_mvp_library/utils/DataHelper.java, line(s) 10
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/example/xu_mvp_library/base/BaseWebActivity.java, line(s) 39 com/example/xu_mvp_library/net/HeaderInterceptor.java, line(s) 6 com/hanvon/bigmodelproject/activity/question/view/HeaderInterceptor.java, line(s) 8 org/java_websocket/drafts/Draft_6455.java, line(s) 15
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/example/xu_mvp_library/utils/DeviceUtil.java, line(s) 58 com/example/xu_mvp_library/utils/rxutils/RxEncryptUtils.java, line(s) 102 com/just/agentweb/AgentWebUtils.java, line(s) 801 com/king/app/updater/util/AppUtils.java, line(s) 137
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/example/xu_mvp_library/utils/AppUtils.java, line(s) 61,62 com/example/xu_mvp_library/utils/DownloadUtil.java, line(s) 175,220 com/example/xu_mvp_library/utils/PhotoUtils.java, line(s) 92,144 com/example/xu_mvp_library/utils/rxutils/RxFileUtils.java, line(s) 404,53,67,74,90,91,396,403,1268 com/hanvon/bigmodelproject/AppApplication.java, line(s) 30 com/hanvon/bigmodelproject/util/PhotoUtils.java, line(s) 108,160 com/just/agentweb/AgentWebUtils.java, line(s) 171,531 com/king/app/updater/service/DownloadService.java, line(s) 119 com/yalantis/ucrop/util/FileUtils.java, line(s) 50
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/just/agentweb/WebDefaultSettingsManager.java, line(s) 57,34
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: org/java_websocket/drafts/Draft_6455.java, line(s) 528 org/repackage/a/a/a/a/c.java, line(s) 59
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/hanvon/bigmodelproject/web/constant/ConfigConstants.java, line(s) 9,5 org/java_websocket/drafts/Draft_6455.java, line(s) 55 rx/internal/schedulers/NewThreadWorker.java, line(s) 28,37
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 06171e8a679eb406e1859a08800955e67cf216d1 65f7f766cac2a664de088544 dAr9DeuZ31JIfisRgqkGz1nEJYXxOS 5fe2b011624f470db5e54af5682b35f9
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/contrarywind/view/WheelView.java, line(s) 318 com/example/xu_mvp_library/base/BaseWebActivity.java, line(s) 57,203 com/example/xu_mvp_library/utils/AppUtils.java, line(s) 29,43 com/example/xu_mvp_library/utils/Logg.java, line(s) 35,61,56,42,28,87,88,89,49 com/example/xu_mvp_library/utils/PhotoUtils.java, line(s) 106 com/example/xu_mvp_library/utils/rxutils/RxFileUtils.java, line(s) 425,480 com/hanvon/bigmodelproject/AppApplication.java, line(s) 35 com/hanvon/bigmodelproject/ChatAdapter.java, line(s) 287,294 com/hanvon/bigmodelproject/MainActivity.java, line(s) 179 com/hanvon/bigmodelproject/activity/instruct/InStructActivity.java, line(s) 76 com/hanvon/bigmodelproject/activity/main/NewMainActivity.java, line(s) 849,858,867 com/hanvon/bigmodelproject/activity/question/view/HeaderInterceptor.java, line(s) 24 com/hanvon/bigmodelproject/fragment/DialogueFragment.java, line(s) 1113,387,405,988,219,223,338,592,636,639,654,1054,1118,1170,1306,1313 com/hanvon/bigmodelproject/permission/RxPermissionsFragment.java, line(s) 51,94 com/hanvon/bigmodelproject/util/LogUtil.java, line(s) 74,76,82,96,360,386,116,124,370,396,410,67,103,364,390,89,356,382,110,368,375,394,401 com/hanvon/bigmodelproject/util/PhotoUtils.java, line(s) 122 com/hanvon/bigmodelproject/web/algorithm/FunasrWsClient.java, line(s) 161,222,99,110,178,184,216 com/hanvon/bigmodelproject/web/event/AudioResultEventListenerImpl.java, line(s) 6,11 com/hanvon/bigmodelproject/web/event/AudioResultEventSource.java, line(s) 46 com/just/agentweb/AgentWeb.java, line(s) 253 com/just/agentweb/AgentWebUtils.java, line(s) 352,332,345,364,365 com/just/agentweb/AgentWebView.java, line(s) 61,187,200,214,50,164 com/just/agentweb/DefaultChromeClient.java, line(s) 354,361,382 com/just/agentweb/JsCallJava.java, line(s) 186,67,43,80 com/just/agentweb/JsCallback.java, line(s) 46 com/just/agentweb/LogUtils.java, line(s) 32,36,18,24 com/king/app/updater/AppUpdater.java, line(s) 54 com/king/app/updater/util/AppUtils.java, line(s) 35,93,127 com/king/app/updater/util/LogUtils.java, line(s) 82,89,96,145,152,159,103,110,117,61,68,75,124,131,138,166,173,180,187,194,201,208,215 com/tbruyelle/rxpermissions/RxPermissionsFragment.java, line(s) 79,44 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 187 com/yalantis/ucrop/UCropActivity.java, line(s) 147 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 116 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 125,158,201,88,131,143 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 113,53,84 com/yalantis/ucrop/util/EglUtils.java, line(s) 27 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 56,63,74,82,114,124,136,150,164,170,174,179,185,189,292,55,62,73,81,113,123,135,149,163,169,173,178,184,188 com/yalantis/ucrop/view/TransformImageView.java, line(s) 217,234,124,78 me/yokeyword/fragmentation/Fragmentation.java, line(s) 301,466 org/greenrobot/eventbus/BackgroundPoster.java, line(s) 41 org/greenrobot/eventbus/EventBus.java, line(s) 290,429,431,440,172 org/greenrobot/eventbus/util/AsyncExecutor.java, line(s) 98 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 185 org/greenrobot/eventbus/util/ExceptionToResourceMapping.java, line(s) 26 rx/internal/util/IndexedRingBuffer.java, line(s) 30 rx/internal/util/RxRingBuffer.java, line(s) 25 rx/plugins/RxJavaHooks.java, line(s) 207
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/example/xu_mvp_library/utils/AppUtils.java, line(s) 4,74 com/hanvon/bigmodelproject/web/util/ClipboardHelper.java, line(s) 4,17
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/example/xu_mvp_library/net/RxService.java, line(s) 33,33 com/king/app/updater/util/SSLSocketFactoryUtils.java, line(s) 114,31,84,113,104,112,112
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (5fe2b011624f470db5e54af5682b35f9.oss-cnbj01.cdsgss.com) 通信。
{'ip': '210.73.221.116', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tiandi.hanvon.com) 通信。
{'ip': '220.185.183.50', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.hanvon.com) 通信。
{'ip': '220.185.183.50', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '台州', 'latitude': '28.666668', 'longitude': '121.349998'}