Wazuh SQL Injection: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Erkennen eines SQL-Injection-Angriffs == Mit Wazuh können Sie SQL-Injection-Angriffe anhand von Webserver-Protokollen erkennen, die Muster wie "select", "…“)
 
(kein Unterschied)

Aktuelle Version vom 30. Januar 2025, 08:57 Uhr

Erkennen eines SQL-Injection-Angriffs

Mit Wazuh können Sie SQL-Injection-Angriffe anhand von Webserver-Protokollen erkennen, die Muster wie "select", "union" und andere häufige SQL-Injection-Muster enthalten.

SQL-Injection ist ein Angriff, bei dem ein Bedrohungsakteur bösartigen Code in Zeichenfolgen einfügt, die an einen Datenbankserver zur Analyse und Ausführung übertragen werden. Ein erfolgreicher SQL-Injection-Angriff verschafft unbefugten Zugriff auf vertrauliche Informationen, die in der Datenbank enthalten sind.

In diesem Anwendungsfall simulieren Sie einen SQL-Injection-Angriff gegen einen Ubuntu-Endpunkt und erkennen ihn mit Wazuh.

Infrastruktur

Endpunkt

Beschreibung Endpunkt
Opfer-Endpunkt mit Apache 2.4.54 Webserver Ubuntu 22.04
Angreifer-Endpunkt, der den SQL-Injection-Angriff startet RHEL 9.0

Konfiguration

Ubuntu-Endpunkt

Führen Sie die folgenden Schritte aus, um Apache zu installieren und den Wazuh-Agenten zu konfigurieren, damit er die Apache-Protokolle überwacht.

  1. Aktualisieren Sie die lokalen Pakete und installieren Sie den Apache-Webserver:


sudo apt update
sudo apt install apache2


Falls die Firewall aktiviert ist, passen Sie die Firewall an, um den externen Zugriff auf die Webports zu ermöglichen. Überspringen Sie diesen Schritt, wenn die Firewall deaktiviert ist: 


sudo ufw app list
sudo ufw allow 'Apache'
sudo ufw status


Überprüfen Sie den Status des Apache-Dienstes, um zu bestätigen, dass der Webserver läuft: 


sudo systemctl status apache2


Verwenden Sie den Befehl `curl` oder öffnen Sie `http://<UBUNTU_IP>` im Browser, um die Apache-Startseite anzuzeigen und die Installation zu überprüfen: 


curl http://<UBUNTU_IP>


Fügen Sie die folgenden Zeilen in die Datei `/var/ossec/etc/ossec.conf` des Wazuh-Agenten ein. Dadurch wird der Wazuh-Agent so konfiguriert, dass er die Zugriffsprotokolle des Apache-Servers überwacht: 


<ossec_config>
 <localfile>
   <log_format>apache</log_format>
   <location>/var/log/apache2/access.log</location>
 </localfile>
</ossec_config>


Starten Sie den Wazuh-Agenten neu, um die Konfigurationsänderungen anzuwenden: 


sudo systemctl restart wazuh-agent


Angriffs-Simulation

Ersetzen Sie `<UBUNTU_IP>` durch die entsprechende IP-Adresse und führen Sie den folgenden Befehl vom Angreifer-Endpunkt aus: 


curl -XGET "http://<UBUNTU_IP>/users/?id=SELECT+*+FROM+users";


Das erwartete Ergebnis ist hier ein Alarm mit der Regel-ID 31103, jedoch erzeugt ein erfolgreicher SQL-Injection-Versuch einen Alarm mit der Regel-ID 31106.

Alarme visualisieren

Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Modul "Threat Hunting" und fügen Sie die Filter in der Suchleiste hinzu, um die Alarme abzufragen.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Wazuh_SQL_Injection&oldid=58760