sobhbh/Masar-SOC-Web-Attack-Detection-Lab
GitHub: sobhbh/Masar-SOC-Web-Attack-Detection-Lab
一个基于 Apache 日志和 Splunk 的 Web 攻击检测实验室,覆盖攻击模拟、检测、事件响应和修复的完整安全生命周期。
Stars: 0 | Forks: 0
# Masar SOC Web 攻击检测实验室
一个端到端的 Web 安全项目,涵盖**攻击模拟、Apache 日志分析、Splunk 检测、事件响应、修复与复测**。
原实验室由 **Mohammad Bassam Al-Sobh** 在 **Masar Program** 期间,于 **National Cyber Security Center** 作为网络安全与云计算实地培训的一部分完成。
## 项目概述
该实验室使用了一个由 Apache 托管并通过 Splunk Enterprise 监控的、故意留有漏洞的 PHP 应用程序。它展示了完整的安全生命周期:
1. 构建一个隔离的 Web 安全实验室。
2. 测试四个故意留有漏洞的 endpoint。
3. 将 Apache 访问日志接入 Splunk。
4. 检测可疑活动并重建攻击时间线。
5. 遏制入侵并移除恶意 artifact。
6. 应用安全编码修复。
7. 重新测试应用程序并确认检测。
## 已确认环境
| 组件 | 已确认或已记录的值 |
|---|---|
| 虚拟化 | VMware Workstation |
| 操作系统 | Kali Linux |
| Web 服务器 | Apache HTTP Server |
| 应用程序路径 | `/var/www/html/masar/` |
| SIEM | Splunk Enterprise |
| Splunk 路径 | `/opt/splunk` |
| Splunk Web 端口 | `8000` |
| Apache 日志源 | `/var/log/apache2/access.log` |
| Apache sourcetype | `access_combined` |
| Splunk index | 现存证据中未知;搜索使用 `index=*` |
| 原数据库引擎 | 未知 |
| 重建的应用程序数据库 | SQLite |
## 安全场景
| Endpoint | 场景 | 展示的影响 |
|---|---|---|
| `upload.php` | 无限制文件上传 | 可上传服务器端可执行内容 |
| `cmd.php` | 操作系统命令注入 | 以 `www-data` 身份执行命令 |
| `xss.php` | 反射型跨站脚本攻击 (XSS) | 浏览器端脚本执行 |
| `sql.php` | SQL 注入 | 未经授权获取多个用户记录 |
## 核心证据展示
### 以 Web 服务器用户身份执行的命令
### Splunk 对 Shell 指标的检测
### 修复后的安全复测
完整的截图集记录在 [`docs/evidence-gallery.md`](docs/evidence-gallery.md) 中。
## 检测工程
该仓库包含用于以下方面的 Splunk 搜索:
- 可疑文件上传和可执行文件访问。
- 反射型 XSS 指标。
- 操作系统命令注入指标。
- SQL 注入指标。
- 可能的 web-shell 访问。
- 组合 endpoint 时间线。
示例:
```
index=* sourcetype=access_combined source="/var/log/apache2/access.log"
"/masar/cmd.php"
| eval raw_lower=lower(_raw)
| where match(raw_lower, "(%3b|;|%26%26|&&|%7c|\||nc(%20|\+)|bash(%20|\+)-i|/bin/bash|whoami|uname(%20|\+)-a)")
| eval detection_name="OS Command Injection Attempt"
| table _time host source clientip method uri_path status detection_name _raw
| sort 0 _time
```
详见 [`detections/splunk/`](detections/splunk/)。
## 事件响应工作流
- 在 Splunk 中审查 Apache 事件。
- 关联文件上传、命令执行、XSS 和 SQL 注入活动。
- 重建按时间顺序排列的攻击流程。
- 使用受信任的管理员会话进行遏制。
- 移除上传的恶意 artifact。
- 检查常见的持久化位置。
- 对四个 PHP 页面应用修复。
- 对修补后的应用程序进行重新测试。
- 确认尝试的攻击在日志中仍然可见。
## 修复总结
| 发现 | 主要修复措施 |
|---|---|
| 无限制文件上传 | 扩展名和 MIME 白名单、随机化文件名、大小限制、阻止 PHP 执行 |
| 操作系统命令注入 | 严格的 IP 验证和安全的参数处理 |
| 反射型 XSS | 使用 `htmlspecialchars()` 进行上下文感知的输出编码 |
| SQL 注入 | Prepared statements、数字验证以及隐藏密码字段 |
## 重建的应用程序
应用程序目录包含:
```
application/
├── reconstructed-vulnerable/
└── reconstructed-patched/
```
该代码是一个透明的教育性重建版本。它对于重复该实验和展示漏洞与修补后的差异很有用,但不应将其描述为原始的确切代码。
请阅读 [`application/README.md`](application/README.md) 和 [`docs/reconstruction-note.md`](docs/reconstruction-note.md)。
## 仓库结构
```
Masar-SOC-Web-Attack-Detection-Lab/
├── application/
│ ├── reconstructed-vulnerable/
│ └── reconstructed-patched/
├── assets/
├── config/
├── detections/splunk/
├── docs/
│ ├── architecture.md
│ ├── attack-chain.md
│ ├── evidence-gallery.md
│ ├── incident-response.md
│ ├── reconstruction-note.md
│ └── remediation-and-retest.md
├── evidence/
├── reports/
├── sample-data/
├── DISCLAIMER.md
├── PROJECT_CHECKLIST.md
├── SECURITY.md
└── UPLOAD_TO_GITHUB.md
```
## 展现的技能
- SOC 和 SIEM 调查
- Splunk 搜索与检测工程
- Apache 日志分析
- 事件时间线重建
- Web 应用程序渗透测试
- 漏洞评估
- 事件遏制与根除
- 安全的 PHP 开发
- 修复验证与复测
- Linux 管理
- 技术安全报告
## 道德规范使用
仅在您拥有或获得明确授权进行测试的系统上使用这些资料。易受攻击的版本必须保持隔离并绑定到 localhost。
## 作者
**Mohammad Bassam Al-Sobh**
GitHub: [sobhbh](https://github.com/sobhbh)
网络安全理学学士 — Ajloun National University
Masar Program — National Cyber Security Center
标签:Apache, CISA项目, ffuf, Web安全, 安全运营, 扫描框架, 漏洞修复, 网络信息收集, 网络安全培训, 蓝队分析