hunterwolvz/Log-Analysis

# Log_Analysis # QuickSilver 材料 – 事件响应报告（SQL 注入模拟） 此仓库包含针对容器化 Web 应用程序环境（位于 nginx 反向代理后方的 OWASP Juice Shop）进行的模拟安全事件调查，使用了 Wazuh SIEM、Docker 日志以及网络流量分析。 该场景呈现了一种持续多日的攻击模式，包括身份验证探测、疑似 SQL 注入行为以及失效的访问控制，最终导致敏感用户和财务数据的潜在泄露。 ## 本项目涵盖内容 - 基于 Wazuh 的可疑 Web 活动检测 - nginx 访问和错误日志分析 - Docker 容器化调查环境 - 跨多日的攻击者行为重建 - SQL 注入与失效的访问控制假设评估 - 数据泄露影响评估（用户及财务数据） - 事件响应生命周期（遏制、根除、恢复） - 身份验证、日志记录和访问控制方面的安全漏洞 - SIEM 和应用程序加固建议 ## 环境 - Wazuh（Manager、Indexer、Dashboard） - Docker（OWASP Juice Shop + nginx 反向代理） - Linux 日志检查和容器 shell 访问 - 内部模拟网络（172.18.0.0/16 范围） ## 主要发现 - 来自单一内部 IP 的重复登录尝试和 API 探测 - 从身份验证失败 → 成功登录会话 → 敏感数据访问的转变 - 访问了用户数据、支付详细信息和与管理员相关的 endpoint - 由于日志记录限制，日志中未捕获到直接的 SQL payload - 行为与 SQL 注入或失效的访问控制利用一致 ## 局限性 - 无法查看请求体或 SQL 查询 - Wazuh 检测主要基于 HTTP 400/500 模式 - 严重依赖手动日志关联和行为推断 ## 结果 调查表明，由于薄弱的访问控制和不足的后端验证，极有可能发生了未经授权的敏感数据访问。该案例突显了在日志记录深度、身份验证加固以及 SIEM 规则针对性方面的漏洞。 ## 备注 这是一项用于事件响应实践的模拟网络安全实验室练习。

标签：CISA项目, Docker, SQL注入分析, Wazuh, 安全, 安全防御评估, 库, 应急响应, 请求拦截, 超时处理