Android应用安全系列 part 6 – FourGoats安装配置

接下来的内容会根据owasp.org,讲2014年移动方面十大威胁,用于攻击存在漏洞的安卓应用。

使用测试应用程序是owasp GoatDroid,其中FourGoats是一个存在漏洞的社交应用,以及HerdFinancial应用是一个简单的银行应用。GoatDroid作为学习安卓应用安全是个不错的选择。

在Appie中已经集成了GoatDroid,然鹅,输入 goatdroid 并不能启动应用,需要手工启动,找到  goatdroid-0.9.jar 文件,打开

Apps中选择 FourGoats,然后点击  start web service,当出现红色标识  stop web service 时说明服务端成功开启,如下图:

可以查看服务端控制信息,在FourGoats应用中给出了几个安全缺陷问题。

  • Client-Side Injection  客户端注入
  • Server-Side Authorization Issues 服务端认证问题
  • Side Channel Information Leakage  旁道信息泄露
  • Insecure Data Storage  不安全数据存储
  • Privacy Concerns  隐私问题
  • Insufficient Transport Layer Protection  传输层保护缺陷
  • Insecure IPC  不安全进程间通信

选择如图路径查看数据库

在数据库中可以看到当前用户共有5个

下一步需要建立客户端连接,首先appie中ipconfig查看地址,选用的地址是virtualbox中的虚拟地址

客户端方面,需要将 OWASP GoatDroid- FourGoats Android App.apk 应用安装到模拟器中

打开FourGoats应用,点击右上角选择目的地址信息 Destination Info

输入ip地址和https端口号

端口号信息可以在服务端 configuratino中看到,默认https端口号9888就可以

配置完成,输入登录

用户名:goatdroid

密    码:goatdroid

登录成功会返回进入后界面

您可能还喜欢...