murattkarateke/owasp-top10-soc-homelab
GitHub: murattkarateke/owasp-top10-soc-homelab
Stars: 0 | Forks: 0
# OWASP Top 10 SOC Homelab
## Wazuh • Splunk • Threat Hunting • MITRE ATT&CK • OWASP Top 10
# 🇬🇧 English
## Project Overview
This project demonstrates a complete SOC (Security Operations Center) homelab environment focused on OWASP Top 10 inspired attack simulations, SIEM monitoring, threat hunting, MITRE ATT&CK mapping, and security event analysis.
The environment was designed to simulate real-world blue team and SOC analyst workflows using modern defensive security technologies.
The project includes:
- Web reconnaissance
- Attack surface enumeration
- Directory and content discovery
- SSH brute force simulations
- SQL Injection assessment attempts
- WAF detection and analysis
- Threat hunting workflows
- SIEM monitoring
- MITRE ATT&CK mapping
- Dashboard visualization
- Log correlation analysis
This homelab was created strictly for educational and defensive security purposes.
# Project Objectives
Main goals of this project:
- Understanding OWASP Top 10 attack concepts
- Practicing SOC analyst workflows
- Learning SIEM monitoring
- Performing threat hunting
- Understanding detection engineering
- Monitoring authentication attacks
- Creating attack timelines
- Mapping events to MITRE ATT&CK
- Understanding WAF protections
- Improving blue team visibility
# Lab Infrastructure
| Component | Technology |
|---|---|
| Attacker Machine | Kali Linux |
| Target Server | Ubuntu Server |
| SIEM Platform | Wazuh |
| Log Analysis | Splunk |
| Protection Layer | Cloudflare WAF |
| Monitoring Scope | OWASP Top 10 + Threat Hunting |
# Technologies Used
## Operating Systems
- Kali Linux
- Ubuntu Server
## Security Tools
- Nmap
- WhatWeb
- Nikto
- FFUF
- Gobuster
- Feroxbuster
- Hydra
- SQLMap
## SIEM & Monitoring
- Wazuh
- Splunk
- MITRE ATT&CK
- Threat Hunting Dashboards
# Attack Simulations
## Reconnaissance & Enumeration
Performed:
- Service discovery
- Web fingerprinting
- Directory enumeration
- Admin panel discovery
- Forced browsing
- Content discovery
Tools used:
- Nmap
- WhatWeb
- FFUF
- Feroxbuster
- Gobuster
## Authentication Attack Simulation
SSH brute force simulations were performed against the Ubuntu server.
Objectives:
- Generate authentication logs
- Monitor failed login attempts
- Analyze source IPs
- Create attack timelines
- Trigger SIEM alerts
Tools used:
- Hydra
- Wazuh
- Splunk
## SQL Injection Assessment
SQLMap testing was performed against the web application.
Objectives:
- Analyze WAF behavior
- Monitor blocked payloads
- Observe SIEM visibility
- Understand defensive filtering mechanisms
# Why Some OWASP Top 10 Attacks Could Not Be Fully Demonstrated
Some attack categories could not be fully exploited because the environment was intentionally protected.
## Cloudflare WAF Protection
The target domain was protected behind Cloudflare WAF and reverse proxy services.
Because of this:
This behavior is visible in both screenshots and SIEM logs.
## No Intentionally Vulnerable Backend
The environment was not based on intentionally vulnerable systems such as:
- DVWA
- Metasploitable
- OWASP Juice Shop
Instead, a real self-hosted personal environment protected with production-like security controls was used.
Therefore:
This decision was intentional to maintain a realistic defensive security environment.
# Threat Hunting & SOC Analysis
The project demonstrates:
- Attack timeline analysis
- Authentication monitoring
- Brute force detection
- SIEM log correlation
- MITRE ATT&CK mapping
- IOC visibility
- Dashboard creation
- Threat hunting workflows
# MITRE ATT&CK Coverage
This project includes analysis related to:
- Credential Access
- Brute Force
- Initial Access
- Discovery
- Valid Accounts
- Defense Evasion
# Screenshots
## 01 - Kali Linux Red Team Environment
## 02 - Target Infrastructure
## 03 - Open Service Enumeration
## 04 - WhatWeb Fingerprinting
## 05 - WAF Detection Analysis
## 06 - Nikto Web Assessment
## 07 - FFUF Forced Browsing
## 08 - Feroxbuster Content Discovery
## 09 - Admin Panel Enumeration
## 10 - Hydra SSH Brute Force
## 11 - Wazuh Authentication Events
## 12 - MITRE ATT&CK Mapping
## 13 - SQLMap Injection Assessment
## 14 - Splunk SSH Attack Search
## 15 - Attack Timeline Analysis
## 16 - Attacker IP Analysis
## 17 - Targeted User Analysis
## 18 - Gobuster Enumeration
## 19 - Directory Enumeration SIEM Analysis
## 20 - WAF Blocking Analysis
## 21 - Final OWASP Top 10 SOC Dashboard
# Educational Disclaimer
This project was created strictly for:
- Educational purposes
- Defensive security training
- Threat hunting practice
- SOC analyst development
- Security monitoring exercises
No unauthorized exploitation or malicious activity was performed.
All testing was conducted inside a controlled homelab environment owned and managed by the project creator.
# 🇹🇷 Türkçe
## Proje Genel Bakış
Bu proje; OWASP Top 10 odaklı saldırı simülasyonları, SIEM izleme, threat hunting, MITRE ATT&CK eşleştirmesi ve güvenlik olay analizi içeren kapsamlı bir SOC (Security Operations Center) homelab çalışmasını göstermektedir.
Lab ortamı, gerçek dünya SOC analisti ve blue team iş akışlarını simüle etmek amacıyla hazırlanmıştır.
Projede:
- Web reconnaissance
- Saldırı yüzeyi analizi
- Directory enumeration
- Forced browsing
- SSH brute force simülasyonları
- SQL Injection testleri
- WAF analizi
- Threat hunting çalışmaları
- SIEM log analizi
- Dashboard görselleştirmeleri
- MITRE ATT&CK eşleştirmeleri
yer almaktadır.
Bu proje tamamen eğitim, defensive security ve SOC analisti gelişimi amacıyla hazırlanmıştır.
# Proje Amaçları
Bu projenin temel hedefleri:
- OWASP Top 10 saldırı mantığını öğrenmek
- SOC analisti süreçlerini uygulamak
- SIEM log analizi yapmak
- Threat hunting pratiği geliştirmek
- Detection engineering mantığını anlamak
- Authentication saldırılarını izlemek
- MITRE ATT&CK analizleri yapmak
- Dashboard geliştirmek
- WAF korumalarını analiz etmek
- Blue team görünürlüğünü artırmak
# Lab Altyapısı
| Bileşen | Teknoloji |
|---|---|
| Saldırgan Makine | Kali Linux |
| Hedef Sunucu | Ubuntu Server |
| SIEM Platformu | Wazuh |
| Log Analizi | Splunk |
| Koruma Katmanı | Cloudflare WAF |
| İzleme Alanı | OWASP Top 10 + Threat Hunting |
# Kullanılan Teknolojiler
## İşletim Sistemleri
- Kali Linux
- Ubuntu Server
## Güvenlik Araçları
- Nmap
- WhatWeb
- Nikto
- FFUF
- Gobuster
- Feroxbuster
- Hydra
- SQLMap
## SIEM ve İzleme
- Wazuh
- Splunk
- MITRE ATT&CK
- Threat Hunting Dashboardları
# Gerçekleştirilen Saldırı Simülasyonları
## Reconnaissance & Enumeration
Gerçekleştirilen işlemler:
- Servis keşfi
- Web fingerprinting
- Directory enumeration
- Admin panel analizi
- Forced browsing
- İçerik keşfi
Kullanılan araçlar:
- Nmap
- WhatWeb
- FFUF
- Feroxbuster
- Gobuster
## Authentication Attack Simulation
Ubuntu sunucuya karşı SSH brute force simülasyonları gerçekleştirilmiştir.
Amaç:
- Authentication logları üretmek
- Failed login denemelerini izlemek
- Source IP analizi yapmak
- Attack timeline oluşturmak
- SIEM alarm üretmek
Kullanılan araçlar:
- Hydra
- Wazuh
- Splunk
## SQL Injection Assessment
Web uygulamasına SQLMap ile SQL Injection testleri uygulanmıştır.
Amaç:
- WAF davranışını analiz etmek
- Engellenen payloadları incelemek
- SIEM görünürlüğünü değerlendirmek
- Savunma mekanizmalarını anlamak
# Bazı OWASP Top 10 Saldırıları Neden Tam Gerçekleştirilemedi?
## Cloudflare WAF Koruması
Hedef domain Cloudflare WAF ve reverse proxy arkasında çalışmaktadır.
Bu nedenle:
- Birçok payload HTTP 403 döndürmüştür
- Enumeration istekleri filtrelenmiştir
- SQL injection payloadları engellenmiştir
- Otomatik tarama araçları rate-limit uygulanarak kısıtlanmıştır
- Şüpheli istekler backend’e ulaşmadan bloklanmıştır
Bu durum ekran görüntülerinde ve SIEM loglarında açık şekilde görülmektedir.
## Bilerek Vulnerable Backend Kullanılmaması
Bu proje aşağıdaki intentionally vulnerable sistemler üzerinde yapılmamıştır:
- DVWA
- Metasploitable
- OWASP Juice Shop
Bunun yerine gerçek, kişisel ve production benzeri güvenlik önlemleri bulunan bir ortam kullanılmıştır.
Bu nedenle:
- Gelişmiş XSS payloadları çalıştırılamamıştır
- Backend compromise senaryoları oluşturulamamıştır
- Bazı OWASP Top 10 kategorileri teorik seviyede kalmıştır
- Remote code execution senaryoları gerçekleştirilememiştir
Bu tercih bilinçli olarak yapılmıştır çünkü proje defensive security ve SOC odaklı hazırlanmıştır.
# Threat Hunting & SOC Analizi
Projede:
- Attack timeline analizi
- Authentication monitoring
- Brute force detection
- SIEM log correlation
- MITRE ATT&CK mapping
- IOC görünürlüğü
- Dashboard geliştirme
- Threat hunting süreçleri
uygulanmıştır.
# MITRE ATT&CK Kapsamı
Projede aşağıdaki teknikler analiz edilmiştir:
- Credential Access
- Brute Force
- Initial Access
- Discovery
- Valid Accounts
- Defense Evasion
# Ekran Görüntüleri
## 01 - Kali Linux Red Team Ortamı
## 02 - Hedef Altyapı
## 03 - Açık Servis Keşfi
## 04 - WhatWeb Fingerprinting
## 05 - WAF Analizi
## 06 - Nikto Web Analizi
## 07 - FFUF Forced Browsing
## 08 - Feroxbuster İçerik Keşfi
## 09 - Admin Panel Enumeration
## 10 - Hydra SSH Brute Force
## 11 - Wazuh Authentication Eventleri
## 12 - MITRE ATT&CK Eşleştirmesi
## 13 - SQLMap Injection Analizi
## 14 - Splunk SSH Saldırı Analizi
## 15 - Saldırı Zaman Çizelgesi
## 16 - Saldırgan IP Analizi
## 17 - Hedef Kullanıcı Analizi
## 18 - Gobuster Enumeration
## 19 - Directory Enumeration SIEM Analizi
## 20 - WAF Engelleme Analizi
## 21 - Final OWASP Top 10 SOC Dashboard
# Eğitim Amaçlı Uyarı
Bu proje:
- Eğitim
- Defensive security
- Threat hunting pratiği
- SOC analisti gelişimi
- Güvenlik izleme çalışmaları
amacıyla hazırlanmıştır.
Herhangi bir izinsiz erişim veya kötü niyetli faaliyet gerçekleştirilmemiştir.
Tüm testler kontrollü homelab ortamında uygulanmıştır.