![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3E4NdlV9mzw1JuA0-_n9ypVSg9u8e0OX3eufczt-3RXAJvGSki76i3UgDfxtQkJnE9rc_pK4X_ggHcbJVJSBr-3zXyC4wIEhbd8zoVQlqtvoiE5br8T6mzo3mHQ1toswJ3s89eGnqlxwl/s320/goatdroid.png)
Se trata de un entorno completamente funcional para aprender acerca de las vulnerabilidades y los fallos de seguridad en la extendida plataforma. El framework y la aplicación están basadas completamente en Java. No es necesario instalar un servidor web externo o un contenedor, aunque si necesitaremos MySQL, el SDK de Android y Eclipse. Cada servicio web corre en instancias Jetty embebidas y utiliza la implementación Jersey de JAX-RS.
Ya es posible descargar la segunda versión de la Beta (OWASP GoatDroid v0.1.2 BETA.zip) y los pasos para su instalación son muy sencillos:
1. Como comentábamos, es necesario tener previamente instalado Mysql, JDK, Eclipse y Android SDK.
2. Lo primero que haremos es crear un dispositivo virtual con un nivel 7 de API como mínimo.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjeSWZwRhZD8Sknpqy_WLPqWnwS-rrHTq3ucEabdR0LnpFV-aWJVED_q62DccTQH-lK1QQP8UDj4Fups9AMV0iSQXR3I6lOhkpAtfXigFNai_Os5WwDABFcp4qwjEahi_HmBphyphenhyphenCsYS8Gp1/s320/Goatdroidvirtualdevice.jpg)
3. Después importamos la base de datos FourGoats en MySQL: 'mysql -u username -p < fourgoats.sql'. El fichero fourgoats.sql está dentro del directorio /databases de la carpeta GoatDroid.
4. Dentro de MySQL ejecutamos: 'create user 'goatboy'@'localhost' identified by 'goatdroid'' (si queremos indicar otra contraseña tendremos que cambiarla en el código fuente de goatdroid.jar y re-exportar.
5. En MySQL, ejecutamos : 'grant insert, delete, update, select on fourgoats.* to goatboy@localhost'
6. Ahora que la base de datos está configurada con las tablas y los datos de ejemplo, arrancamos goatdroid.jar haciendo clic o ejecutamos 'java -jar goatdroid.jar'
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwWiLFjXH-PLNeFkh2PnInRnJ_rEhjxDfmFHs0KsrMbAgBQDJYaKcU-51poyTv3DUEhpoMo6bd9zI-Z2DSqOHLrZcErhDe2tKN9aBV-V_H37NBXUM2UeJty6TCEMugzk9BpazgDaDW6ztK/s320/goatdroid1.jpg)
7. En el menú seleccionamos 'Configure y Edit' y añadimos las rutas de Eclipse y del SDK y los dispositivos virtuales:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWyIQEOkOPZJjV3QaYYrspu0WOvnC2alr9B3XgguyMVrtwm5qlGpkNwwk0M-s4f1XoVR36j8Ljx0M5qKftVgDM0BmFvBIkvB4hM671I5TzUvGffOKjSfzToMlIjLnbMBsWhElR1T79l2W3/s320/goatdroid2.jpg)
8. Desplegamos la carpeta FourGoats en Apps, seleccionamos v1 y pulsamos el botón 'Iniciar servicio web':
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdSoBGSdR0uee-ct3YD7vhUks-SXSIE3gkYMD_uIScy3cROj847_JUTcHRxrnqP3urD4vIzjCIq4tC-J20pDrs2lp7dxJBjuTe_zvKIqt7jWU_wRh5QRx4oU7IGJdEYwSMvLSo2rDE2EfY/s320/goatdroid4.jpg)
9. Pulsamos el botón para iniciar el emulador y seleccionamos nuestro dispositivo virtual:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcrkYgVbsqqa5ig9-8uTyZ2UCJIaZdWiW-hpgpbidOvp9uWkrP3NMGfaT9GEjjkeTfQi1-rbi9zM2zKEJttPXvm2rgFqPfHTVX5UpuPiSO9PjiNlsjLrAa6K6wOAFHKC9EYHAs3S5ESP5T/s320/goatdroid5.jpg)
10. Una vez arrancado el dispositivo virtual, instalamos la aplicación pulsando el botón "Push App To Device". En caso de que fallara, podemos instalar el apk nosotros directamente: 'D:\Android\android-sdk\platform-tools>adb.exe install "d:\OWASP GoatDroid v0.1.2 BETA\goatdroid_apps\FourGoats\v1\android_app\FourGoats- Android Application.apk"'
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNaRs0MjDI2pc-MLeWpQX_6qONJDxCRjtrQ1tm2MXVyhXZHlsUxxYDT5GS7W_W1vssdu6mlaAB5HHUg3Cl-QfjH39IVHlmYYwrdTz_ytlOU9WhuPlIkYd699aRV4H4UqiVQzYCP9Dnw4ym/s320/goatdroid8.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjexSCkn4GY0RvuNJcA_JX_3zGiTHairkBg30qxZV9Cj9Fsi7abcm9OWu3aoMqny2p2c7JrGYKZIbLMxt95RdL4W8gAL29BURkfgXmFSXgLun-3EDc8dGlfFyBmgAz9P8E35dk6HNFgp9XK/s320/goatdroid9.jpg)
11. Pinchamos en el icono creado para iniciar la aplicación y, antes de empezar a hacer nada, es necesario especificar el host y el puerto para conectarnos al servicio web. Para ello, pulsamo el botón 'Menú' y seleccionamos "Destination Info".
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhD29vrRKLkpJwTGktMFqtof43NGmkAxoMSAA-g_UArrdEEZFMRfnBAyjzt_Uxhj41eTDA_QlK5TxIQQ11sTdzpq7kR8A7E2tE02XTRZ6RrKL0ZAlNXQ3lX4bNHNA6haVOM50jNJ_W_lJNG/s320/goatdroid11.jpg)
12. Por último, registramos y creamos una cuenta y nos loggeamos.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVpyUqG4cBjZ-HwIHdHQVsgGNopIShu0MmphTESK-rOvQlMbnF0idKDM-V6w6uL2zB0dk0kjydOGAXXUWvBk9EKfNpXBpRHmp4AAUkUB3ErBsr8p7Utk-GGait8AjexDrmPKFM1CfVsJCk/s320/goatdroid13.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQlW3kWkW3KU5F8XTNupZFRd3TckGZdXJT2VLRHA1Ag-jgUpmOquyzZO5jSzH85LLJpMkmq8IbA9u4RuY81P4MZ3yzxHp-JSPFg1s-g4UzeyPvsnWSwslMFKza_aotrhEx2sEtf-Rbz2Yp/s320/goatdroid12.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNxIhTRUny_fc3bNhGnIr2ZVltL3lExDbZdA72ny7RH3VABx1vlzaqrMqgpmwcWbuKDYcMbCwEdhIStIFC-HiZzhi_fWMMy4CM6YztWphRzGzN1eFtUkTRXyBmNJjSDRPus1msF5Wiqs0W/s320/goatdroid14.jpg)
Y ya está. Cómo habéis visto, la aplicación ser llama FourGoats, una aplicación que emula una red social donde podemos registrarnos en varios lugares, ganar premios de fidelidad y ver lo que nuestros amigos están haciendo... pero sobretodo, descubrir vulnerabilidades de tipo:
Client-Side Injection
Server-Side Authorization Issues
Side Channel Information Leakage
Insecure Data Storage
Privacy Concerns
pd. Y si prefieres iOS también existe el equivalente: OWASP iGoat Project
Comentarios
Publicar un comentario