미션4
데이터는 정상적으로 백업받고 백업서버에 전송되는가?
미션5
web2를 복구 서버로 복구하고 하기


미션6
공통사항
계정 생성후 백업 스크립트 작동여부 반드시 확인해서 수정할 것
계정 로그인시 log@mail.st.kr로 접속 여부 전송 확인
도메인 추가하기
도메인:basic.st.kr
basic 계정을 생성하고 사이트가 정상적으로 작동되도록 조치하라
basic.zip
도메인 : bookmarket.st.kr
bookmarket 계정을 생성하고 사이트가 정상적으로 작동되도록 조치하라
bookmarket.zip
두개의 사이트는 brute force 공격이 가능한가?
가능하다면 brute force 공격을 차단하라
다른 취약점은 없는지 소스코드 살펴보기

web2의 로그인 코드를 확인해서
컬럼에 failed_login last_login을 추가하고 이 값을 통해서 brute force를 차단한다


보안 수정
/etc/apache2/conf-available/security.conf
servertokens prod
serversignature off

csrf

CSRF는 교차 사이트 요청 위조라는 의미로, 
사용자가 의도하지 않은 작업을 수행하도록 악의적인 웹사이트가 사용자의 브라우저를 악용하는 공격 기법입니다. 
이 공격은 사용자가 로그인된 상태에서 악의적인 요청을 서버에 보내는 방식으로 이루어집니다.

admin 쿠키값 가져오기 PHPSESSID=umg7b78bfrovbmf4nh6mnc276e; security=low
공격주소 http://dvwa.st.kr/vulnerabilities/csrf?password_new=1&password_conf=1&Change=Change

csrf.html 작성

burp suite로 잡아서 세션값과 보안값을 입력
**keep-alive**는 하나의 연결을 여러 번 재사용하여 성능을 최적화하는 방식입니다.
**close**는 요청이 끝난 후 즉시 연결을 종료하여, 더 이상 사용하지 않을 리소스를 해제하는 방식입니다.
connection이 keep-alvie면 그 위에 쿠키값을 넣고 close면 밑에 넣어도 상관없음
csrf쿠키를 가진 사용자가 로그인 상태에서 가능