https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Wazuh_SQL_Injection 2026-06-29T04:23:21Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Wazuh_SQL_Injection&diff=58760&oldid=prev 2025-01-30T08:57:23Z

<p>Die Seite wurde neu angelegt: „== Erkennen eines SQL-Injection-Angriffs == Mit Wazuh können Sie SQL-Injection-Angriffe anhand von Webserver-Protokollen erkennen, die Muster wie &quot;select&quot;, &quot;…“</p> <p><b>Neue Seite</b></p><div>== Erkennen eines SQL-Injection-Angriffs ==<br /> <br /> Mit Wazuh können Sie SQL-Injection-Angriffe anhand von Webserver-Protokollen erkennen, die Muster wie &quot;select&quot;, &quot;union&quot; und andere häufige SQL-Injection-Muster enthalten.<br /> <br /> SQL-Injection ist ein Angriff, bei dem ein Bedrohungsakteur bösartigen Code in Zeichenfolgen einfügt, die an einen Datenbankserver zur Analyse und Ausführung übertragen werden. Ein erfolgreicher SQL-Injection-Angriff verschafft unbefugten Zugriff auf vertrauliche Informationen, die in der Datenbank enthalten sind.<br /> <br /> In diesem Anwendungsfall simulieren Sie einen SQL-Injection-Angriff gegen einen Ubuntu-Endpunkt und erkennen ihn mit Wazuh.<br /> <br /> == Infrastruktur ==<br /> <br /> === Endpunkt ===<br /> <br /> {| class=&quot;wikitable&quot;<br /> |-<br /> ! Beschreibung<br /> ! Endpunkt<br /> |-<br /> | Opfer-Endpunkt mit Apache 2.4.54 Webserver<br /> | Ubuntu 22.04<br /> |-<br /> | Angreifer-Endpunkt, der den SQL-Injection-Angriff startet<br /> | RHEL 9.0<br /> |}<br /> <br /> == Konfiguration ==<br /> <br /> === Ubuntu-Endpunkt ===<br /> <br /> Führen Sie die folgenden Schritte aus, um Apache zu installieren und den Wazuh-Agenten zu konfigurieren, damit er die Apache-Protokolle überwacht.<br /> <br /> # Aktualisieren Sie die lokalen Pakete und installieren Sie den Apache-Webserver:<br /> <br /> <br /> sudo apt update<br /> sudo apt install apache2<br /> <br /> <br /> Falls die Firewall aktiviert ist, passen Sie die Firewall an, um den externen Zugriff auf die Webports zu ermöglichen. Überspringen Sie diesen Schritt, wenn die Firewall deaktiviert ist:<br /> <br /> <br /> sudo ufw app list<br /> sudo ufw allow 'Apache'<br /> sudo ufw status<br /> <br /> <br /> Überprüfen Sie den Status des Apache-Dienstes, um zu bestätigen, dass der Webserver läuft:<br /> <br /> <br /> sudo systemctl status apache2<br /> <br /> <br /> Verwenden Sie den Befehl `curl` oder öffnen Sie `http://&lt;UBUNTU_IP&gt;` im Browser, um die Apache-Startseite anzuzeigen und die Installation zu überprüfen:<br /> <br /> <br /> curl http://&lt;UBUNTU_IP&gt;<br /> <br /> <br /> Fügen Sie die folgenden Zeilen in die Datei `/var/ossec/etc/ossec.conf` des Wazuh-Agenten ein. Dadurch wird der Wazuh-Agent so konfiguriert, dass er die Zugriffsprotokolle des Apache-Servers überwacht:<br /> <br /> <br /> &lt;ossec_config&gt;<br /> &lt;localfile&gt;<br /> &lt;log_format&gt;apache&lt;/log_format&gt;<br /> &lt;location&gt;/var/log/apache2/access.log&lt;/location&gt;<br /> &lt;/localfile&gt;<br /> &lt;/ossec_config&gt;<br /> <br /> <br /> Starten Sie den Wazuh-Agenten neu, um die Konfigurationsänderungen anzuwenden:<br /> <br /> <br /> sudo systemctl restart wazuh-agent<br /> <br /> <br /> === Angriffs-Simulation ===<br /> <br /> Ersetzen Sie `&lt;UBUNTU_IP&gt;` durch die entsprechende IP-Adresse und führen Sie den folgenden Befehl vom Angreifer-Endpunkt aus:<br /> <br /> <br /> curl -XGET &quot;http://&lt;UBUNTU_IP&gt;/users/?id=SELECT+*+FROM+users&quot;;<br /> <br /> <br /> Das erwartete Ergebnis ist hier ein Alarm mit der Regel-ID 31103, jedoch erzeugt ein erfolgreicher SQL-Injection-Versuch einen Alarm mit der Regel-ID 31106.<br /> <br /> == Alarme visualisieren ==<br /> <br /> Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Modul &quot;Threat Hunting&quot; und fügen Sie die Filter in der Suchleiste hinzu, um die Alarme abzufragen.</div>

Maximilian.pottgiesser