NocTuax/OWASP-Detection-Lab

GitHub: NocTuax/OWASP-Detection-Lab

一个基于 Wazuh SIEM 的 OWASP Top 10 攻击检测实验室，通过自定义规则实现对暴力破解、SQL 注入等 Web 攻击的实时威胁检测与 MITRE ATT&CK 映射。

Stars: 1 | Forks: 0

# 🛡️ OWASP 检测实验室：使用 Wazuh SIEM 进行实时威胁检测 [![Wazuh](https://img.shields.io/badge/SIEM-Wazuh-005571?style=flat&logo=wazuh&logoColor=white)](https://wazuh.com/) [![OWASP Top 10](https://img.shields.io/badge/OWASP%20Top%2010%202025-Detection%20Lab-blue)](https://owasp.org/Top10/) [![MITRE ATT&CK](https://img.shields.io/badge/MITRE%20ATT%26CK-Mapping-purple)](https://attack.mitre.org/) ## 📌 关于本项目本仓库是一个**网络安全实验室作品集**，记录了使用 **Wazuh SIEM** 检测 **OWASP Top 10 2025** 中各类攻击的实现过程。每个攻击场景都在 Wazuh 中配置了 *custom rules*，在受控实验室环境中进行了测试，并映射到 **MITRE ATT&CK** 框架，以提供更深入的威胁背景。 ## 📂 仓库结构 ``` OWASP-Detection-Lab/ ├── 01-Broken-Authentication/ # Project #1: A07 - Authentication Failures │ └── README.md # Deteksi Brute Force dengan Hydra ├── 02-Injection/ # Project #2: A05 - Injection │ └── README.md # Deteksi SQL Injection dengan SQLMap ├── images/ # Screenshot dan gambar pendukung ├── rules/ # Kumpulan custom rules Wazuh (XML) │ ├── local_rules.xml # Rule untuk A07: Brute Force Hydra │ └── sqli_rules.xml # Rule untuk A05: SQL Injection SQLMap └── README.md # Dokumentasi utama (file ini) ``` ## 📋 检测场景列表 (OWASP Top 10 2025) | 项目 | OWASP 编号 | 类别 | 攻击向量 | 状态 | MITRE ATT&CK | 文档 | |:-------:|:----------:|----------|-----------------|--------|--------------|-------------| | **#1** | **A07:2025** | 身份验证失败 | 使用 Hydra 进行暴力破解 | ✅ 已完成 | [T1110](https://attack.mitre.org/techniques/T1110/) | [01-Broken-Authentication/](./01-Broken-Authentication/) | | **#2** | **A05:2025** | 注入 | 使用 SQLMap 进行 SQL 注入 | ✅ 已完成 | [T1190](https://attack.mitre.org/techniques/T1190/) | [02-Injection/](./02-Injection/) | | **#3** | A02:2025 | 安全配置错误 | *(即将推出)* | ⏳ 计划中 | - | - | | **#4** | A01:2025 | 访问控制失效 | *(即将推出)* | ⏳ 计划中 | - | - | | **#5** | A03:2025 | 软件供应链故障 | *(即将推出)* | ⏳ 计划中 | - | - | | **#6** | A04:2025 | 加密机制失效 | *(即将推出)* | ⏳ 计划中 | - | - | ## 🧪 通用实验室架构每个场景使用的实验室环境相对一致： | 角色 | 操作系统 | 工具/应用程序 | |-------|----------------|----------------| | **攻击者** | Kali Linux | Hydra, SQLMap 等 (视场景而定) | | **目标机** | Ubuntu Server 22.04 | Apache2, DVWA, Wazuh Agent | | **SIEM 管理端** | Ubuntu 22.04 | Wazuh Manager | 具体的 IP 地址和配置等细节将在每个场景文档中详细说明。 ## 🛠️ 自定义规则集为本项目创建的所有 *custom rules* 均可在 [`/rules`](./rules/) 文件夹中找到。目前包括： | 规则文件 | 项目 | OWASP 编号 | 检测内容 | |-----------|---------|------------|---------| | [`rules/local_rules.xml`](./rules/local_rules.xml) | #1 | A07:2025 | 使用 Hydra 进行暴力破解 | | [`rules/sqli_rules.xml`](./rules/sqli_rules.xml) | #2 | A05:2025 | 使用 SQLMap 进行 SQL 注入 | ## 🎯 项目目标 1. **构建作品集** - 展示在 SIEM 工程和威胁检测方面的实践能力 2. **验证 OWASP Top 10 2025** - 演示针对最新风险类别的检测能力 3. **应用 MITRE ATT&CK** - 提供行业标准威胁背景 4. **结构化文档** - 提供清晰且可复现的指南 ## 🚀 开始探索 - **[项目 #1: A07 - 身份验证失败 (Hydra 暴力破解)](./01-Broken-Authentication/)** → 检测暴力破解攻击 - **[项目 #2: A05 - 注入 (SQLMap SQL 注入)](./02-Injection/)** → 检测 SQL 注入攻击 ## 🙋‍♂️ 关于作者本项目作为网络安全作品集的一部分开发。主要专注于 **SOC Operations**、**SIEM Engineering**、**Threat Hunting** 和 **Detection Rule Writing**。 *本文档作为网络安全作品集的一部分编写。最后更新：2026 年 3 月* ![Profile Views](https://komarev.com/ghpvc/?username=NocTuax&color=blue)

标签：AMSI绕过, CISA项目, Cloudflare, EDR, Hydra, MITRE ATT&CK, OWASP Top 10, PoC, SQLMap, SQL注入检测, Syslog, Wazuh, Web安全, 威胁检测, 安全实验室, 安全实验环境, 安全运营, 扫描框架, 暴力破解, 端点检测响应, 红队行动, 脆弱性评估, 自定义规则, 蓝队分析, 规则编写