이책에 관점은 사람들이 어떤 방식으로 해킹을 하는지 알면 그런것들을 막을수 있다는 취지하게 쓰여진 책입니다.

발간된 날짜를 보니 2007년이더군요. 시간이 지났지만 여전히 중요한 내용들이라 생각되더군요.

 

기억에 남는 내용들을 잠깐 나열해보면..

 

간혹 전 여러 홈페이지에 로그인할때 id 와 pass word 를 잘못입력했을때.. 내가 잘못입력한것이 id 인지 password 인지 안알려주는것에 분통터져 했었는데 그런것들도 악용이 가능하다는걸 이책을 통해 알았습니다.

 

세상은 착한 사람들만 있는것이 아니니까요.. 그래서 통합적인 "아이디 혹은 비밀번호가 일치하지 않습니다" 와 같은 메시지를 뿌려준다고 합니다.

 

어떻게 악용하나.. 보면 sql injection 과 관련하여 먼저 id 를 알경우는 입력한 id 뒤에 사용하는 주석 키워드를 넣어줘서 pass word 체크를 막아버리 방법입니다. 즉 문제는 sql 에서 사용하는 키워드를 체크하지 않는다는 점 또한 받은 값을 그대로 sql 문으로 조합하는 점 등을 꼽을수 있습니다. 즉 친절한 에러문일 경우에는 좀더 손쉽게 해킹할수 있는 한걸음을 던져주는것이죠. 

 

또한 간단한 툴을 설치하면 http 콜을 모두 중간에서 잡아줍니다. 이 점은 사용자에게 보여주는 에러 메시지 이외에 서버가 던지는 메시지를 잡아 볼수 있다는것이죠.

 

이때 검색어에 싱글쿼터 (') 와 같은걸 넣었는데 http 콜 값이 500 에러가 나왔다는건 화면에는 아무 영향은 안주지만 서버에는 전달되었음을 의미합니다. 즉 ... 과한 검색으로 서버가 다운이 될수도 있고 사용자가 강제로 최악의 경우는 db 값을 넣을수 있다는 말이기도 하죠

 

이책은 프로그래머에게 사용자들이 호락 호락 하지 않다는것을 알려줍니다. 즉.. 만들때 좀더 꼼꼼한 체크가 필요하겠더군요.

 

리뷰, 독서, 2011, 웹애플리케이션, 보안

꿈꾸는 다락방을 재미있게 읽긴했지만 너무 반복적인 내용으로 조금은 시큰둥 하게 봤던 기억이 있습니다. 하지만 말할려고 하는 초점은 참 좋았습니다 "긍정에 효과", "생각하는 것 대로 이뤄진다" 라는 주제로 쓰여진 책으로 어찌보면 단순하고 짧고 명료하게 말한다면 사람들은 에잇 뭐 그런 소리 나도 할수 있겠다, 당연하거 아닌가 ?  라고 말하겠지만 구구절절 설명하다보니 어찌보면 다단계에 빠져들듯이 나중에는 끄덕이는 모습을 발견하게 됩니다. 아마 이런것이 이지성 작가에 힘이 아닐까 생각하게 됩니다.

 

이책은 고전을 읽어야 한다는 주장이 펼쳐집니다. 왜냐? 바로 인생을 성공하기 위해서는 입니다. 책을 읽는 가장 큰  이유는 경험하지 못한것을 간접 체험 하는것 때문 이라고 생각합니다. 즉 고전을 통해 내가 생각해보지 못한것 또는 미리 살아본 사람들의 지혜를 옆보기 위해서 입니다. 하지만 단순히 읽는다고 해서 그것이 습득된다면 성공하지 못하는 사람은 없을테죠. 이 책에서 말하는 문제는 습득에 깊이 입니다. 예를 들어 논어를 한번 읽었을때와 10번 읽었을때는 습득에 깊이가 달라집니다 즉 한 책을 다독 하는것이 그 책을 깊이 있게 이해하는데 도움을 줍니다. 또하나 방법은 옮겨 적어가면서 읽기 입니다. 아마도 옮겨 적어가면서 읽는 이유는 한자 한자 놓치는것 없이 읽어보기 위함이 아닐까 생각합니다.

 

예전 학생때 시험공부를 하면 어머니가 항상 하시는 말은 쓰면서 외우라는 말을 하시곤 했습니다. 쓰고 말하고 눈으로 읽고 모든 감각을 이용해서 외워야 잘 외워진다고요 헌데 전 그때나 지금이나 무엇을 외우는건 정말 못하는 편이죠. 하지만 공부할때 그대로 옮겨 적어보기도 하고 밑줄을 치기도 하고 할수 있는 방법은 다 해본 기억이 납니다. 하지만 독서는 말 그대로 책 만 읽었지 쓰거나 밑줄을 그어보거나 한적은 없습니다. 아마도 어려운 책은 중도 포기를 하는 이유도 있을테고 독서를 공부라고 생각하지 않기 때문입니다.

 

즉 제 생각에서는 작가는 "고전을 독서하라!" 가 아니고 "고전을 공부하라!" 인거 같습니다. 또한 공부할때 정답 해설지를 보면서 푸는 어리석음을 선생님이 지적하듯 고전을 풀어놓은 책을 읽는 것을 우매한 행동이라고 지적합니다 왜냐하면 이 정답이 맞는지 틀리는지 판단이 서지 않을때는 섣불리 다른 사람이 이미 해놓은 판단을 진실로 받아드릴수 있기 때문입니다.

 

전 매년 100권 독서하기, 50권 독서하기 이런식으로 책에 권수를 정했습니다. 하지만 앞으로는 권수를 체크하는것 보다는 고전을 얼마나 읽었는지 또한 얼마나 깊이 있게 읽었는지를 정리해 보아야 겠다고 생각했습니다.

2011, 독서, 리뷰, 이지성, 리딩으로리드하라, 고전

대학교때 친구들과 IT 가 어떻고 저렇다 이런 저런 이야기를 하다 문듯 친구가 IT 가 뭐에 약자야 ? 라는 질문에 급 당황한적이 있었습니다. IT 가 컴퓨터와 프로그램 등과 관련되 기술인것은 알고 있었지만 그 기본 뜻을 알고 있지 못했기 때문이죠 . 정말 기본적인것인데 말이죠. 그래서 그날 집에와서 찾아봤던 기억이 납니다.

 

일을 하다 보면 당연하게 사용한 용어가 있는데 막상 그 용어가 무엇에 약자인지 모를때가 있습니다. 기본 뜻을 알고 있다면 좀더 깊이 있게 이해할수 있지 않나 생각해보니다.

 

학생이 아니다 보니 ASP.NET 이뭔지 HTTP 가 뭔지 그런 정의를 적으라는 경우는 없을겁니다 그러니 줄줄 외울 필요도 없고요. 하지만 하는일에 기본적인것을 알고 있다는것에 의미를 두는거라 생각합니다.

 

그런면에서 이책은 기존에 알고 있던것을 한퀴에 정리해주는 역활을 합니다. asp.net 이 정의부터 활용까지 전반적인 내용을 담고 있지만 쉽게 풀어놨습니다. 그건 바로 그림으로 그려져 있기 때문이듯 싶네요

 

그리고 챕터 중간에 오랫만에 풀어보는 문제들 .. 마치 초등학교때 문제집을 생각나게 하는 구성이네요. 저도 모르게 그 챕터 문제를 풀어보고 맞춰보니 학생이 된 기분이더라고요.

 

이제 막 입문하는 사람에게는 정말 좋은 책 인거 같습니다. 이걸 기본으로 자신이 관심있는 부분에 좀더 심도 깊은 책을 읽을수 있을꺼 같습니다.