漏洞分析

0

高危漏洞

5

中危漏洞

1

低危漏洞

1

警告

文件名 p3.apk
上传者 Chocobo
文件大小 1.7751636505127MB
MD5 d9892e3b477d93152e10cc20ab271d66
包名 com.example.nothing.project3
Main Activity com.example.nothing.project3.MainActivity
Min SDK 19
Target SDK 28

权限列表

# 名称 说明 提示

四大组件

组件名称

com.example.nothing.project3.MainActivity
com.example.nothing.project3.SecondActivity

第三方库

# 库名 介绍

静态扫描发现风险点

风险等级 风险名称

中危

检测到当前标志被设置成true或没设置,这会导致adb调试备份允许恶意攻击者复制应用程序数据,造成数据泄露。

中危

检测到debug模式被打开。如果该项被打开,app存在被恶意程序调试的风险,可能导致泄露敏感信息等问题,建议关闭debug模式。

中危

该app需要移除大部分日志打印代码。
经扫描该包仍存在大量打日志代码,共发现1处打日志代码.(此处扫描的日志打印代码,是指调用android.util.Log.* 打印的.)
详情如下:

位置: classes.dex
android.arch.lifecycle.LifecycleRegistry;->sync()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I

中危

检测到1条敏感明文信息,建议移除。

位置: classes.dex
'http://schemas.android.com/apk/res/android' used in: Landroid/support/v4/content/res/TypedArrayUtils;->hasAttribute(Lorg/xmlpull/v1/XmlPullParser; Ljava/lang/String;)Z

中危

检测到1处app通用签名漏洞。
路径:META-INF\CERT.RSA

通用签名存在以下风险:
(1)如果攻击者的应用包名与目标应用相同,又使用了相同的密钥对应用进行签名,攻击者的应用就可以替换掉目标应用(2)另外目标应用的自定义权限android:protectionlevel为“signature”或者“signatureOrSystem”时,保护就形同虚设(3)如果设备使用的是第三方ROM,而第三方ROM的系统也是用AOSP默认的签名,那么使用如果使用系统级签名文件签名过的应用,权限就得到了提升对于普通开发者如果自己的签名证书泄露也可能发生(1)、(2)条所提到的风险

参考资料:
http://docs.anysdk.com/AndroidSign
http://blog.csdn.net/jiangwei0910410003/article/details/50402000?spm=a313e.7916648.0.0.Nbaf0K
http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html?spm=a313e.7916648.0.0.Nbaf0K
http://jaq.alibaba.com/community/art/show?articleid=457

低危

检测到2处AES/DES弱加密风险。

位置: classes.dex
com.example.nothing.project3.DES;->getDES(Ljava.lang.String; Ljava.lang.String;)Ljava.lang.String;
com.example.nothing.project3.DES;->getDESOri(Ljava.lang.String; Ljava.lang.String;)Ljava.lang.String;

使用AES/DES/DESede加密算法时,如果使用ECB模式,容易受到攻击风险,造成信息泄露。建议在使用AES/DES/DESede加密算法时,应显示指定使用CBC或CFB加密模式

参考资料:
http://blog.csdn.net/u013107656/article/details/51997957
https://developer.android.com/reference/javax/crypto/Cipher.html
http://drops.wooyun.org/tips/15870
https://developer.android.com/training/articles/keystore.html
http://wolfeye.baidu.com/blog/weak-encryption/
http://www.freebuf.com/articles/terminal/99868.html

警告

检测到1处使用了加解密算法。密钥处理不当可能会导致信息泄露。

位置: classes.dex
com.example.nothing.project3.DES;->getKey(Ljava.lang.String;)Ljava.security.Key;

参考案例:
http://www.wooyun.org/bugs/wooyun-2010-0105766
http://www.wooyun.org/bugs/wooyun-2015-0162907
http://www.wooyun.org/bugs/wooyun-2010-0187287

参考资料:
http://drops.wooyun.org/tips/15870
https://developer.android.com/training/articles/keystore.html


动态扫描发现风险点

风险等级 风险名称

服务端分析

风险等级 风险名称

警告

检测到?处XSS漏洞。
开发中...

警告

检测到?处XSS跨站漏洞。
开发中...

应用证书