Android应用安全系列 part 6 – FourGoats安装配置

接下来的内容会根据owasp.org，讲2014年移动方面十大威胁，用于攻击存在漏洞的安卓应用。

使用测试应用程序是owasp GoatDroid，其中FourGoats是一个存在漏洞的社交应用，以及HerdFinancial应用是一个简单的银行应用。GoatDroid作为学习安卓应用安全是个不错的选择。

在Appie中已经集成了GoatDroid，然鹅，输入 goatdroid 并不能启动应用，需要手工启动，找到  goatdroid-0.9.jar 文件，打开

在Apps中选择 FourGoats，然后点击  start web service，当出现红色标识  stop web service 时说明服务端成功开启，如下图：

可以查看服务端控制信息，在FourGoats应用中给出了几个安全缺陷问题。

• Client-Side Injection  客户端注入
• Server-Side Authorization Issues 服务端认证问题
• Side Channel Information Leakage  旁道信息泄露
• Insecure Data Storage  不安全数据存储
• Privacy Concerns  隐私问题
• Insufficient Transport Layer Protection  传输层保护缺陷
• Insecure IPC  不安全进程间通信

选择如图路径查看数据库

在数据库中可以看到当前用户共有5个

下一步需要建立客户端连接，首先appie中ipconfig查看地址，选用的地址是virtualbox中的虚拟地址

客户端方面，需要将 OWASP GoatDroid- FourGoats Android App.apk 应用安装到模拟器中

打开FourGoats应用，点击右上角选择目的地址信息 Destination Info

输入ip地址和https端口号

端口号信息可以在服务端 configuratino中看到，默认https端口号9888就可以

配置完成，输入登录

用户名：goatdroid

密    码：goatdroid

登录成功会返回进入后界面