Android应用安全系列 part 6 – FourGoats安装配置
接下来的内容会根据owasp.org,讲2014年移动方面十大威胁,用于攻击存在漏洞的安卓应用。
使用测试应用程序是owasp GoatDroid,其中FourGoats是一个存在漏洞的社交应用,以及HerdFinancial应用是一个简单的银行应用。GoatDroid作为学习安卓应用安全是个不错的选择。
在Appie中已经集成了GoatDroid,然鹅,输入 goatdroid 并不能启动应用,需要手工启动,找到 goatdroid-0.9.jar 文件,打开
在Apps中选择 FourGoats,然后点击 start web service,当出现红色标识 stop web service 时说明服务端成功开启,如下图:
可以查看服务端控制信息,在FourGoats应用中给出了几个安全缺陷问题。
- Client-Side Injection 客户端注入
- Server-Side Authorization Issues 服务端认证问题
- Side Channel Information Leakage 旁道信息泄露
- Insecure Data Storage 不安全数据存储
- Privacy Concerns 隐私问题
- Insufficient Transport Layer Protection 传输层保护缺陷
- Insecure IPC 不安全进程间通信
选择如图路径查看数据库
在数据库中可以看到当前用户共有5个
下一步需要建立客户端连接,首先appie中ipconfig查看地址,选用的地址是virtualbox中的虚拟地址
客户端方面,需要将 OWASP GoatDroid- FourGoats Android App.apk 应用安装到模拟器中
打开FourGoats应用,点击右上角选择目的地址信息 Destination Info
输入ip地址和https端口号
端口号信息可以在服务端 configuratino中看到,默认https端口号9888就可以
配置完成,输入登录
用户名:goatdroid
密 码:goatdroid
登录成功会返回进入后界面