📂 개발 서적

제 11장. 웹 공격 기술

인터넷상에서 벌어지는 공격의 대부분은 웹 사이트를 노린 것이다 웹 사이트 공격에는 어떤 것이 있는지 그리고 어떤 영향을 미치는지에 대해서 알아보자. 웹 애플리케이션에 대한 공격 패턴 서버를 노리는 능동적 공격 (active attack) 공격자가 직접 웹 애플리케이션에 액세스 해서 공격 코드를 보내는 타입의 공격 서버 상의 리소스에 대해 직접 실행되기 때문에 공격자가 리소스에 액세스 할 필요가 있음 ex) SQL 인젝션, OS 커맨드 인젝션 유저를 노리는 수동적 공격 (passive attack) 함점을 이용해서 유저에게 공격 코드를 실행시키는 공격 공격자가 직접 웹 애플리케이션에 액세스 해서 공격하지 않음 ex) 크로스 사이트 스크립팅(XSS, cross-site scripting), 크로스 사이트 리..

제 9장. HTTP에 기능을 추가한 프로토콜

HTTP를 기반으로 해서 새로운 기능을 추가한 프로토콜에 대해서 알아보자. 📘 1. HTTP의 병목 현상을 해소하는 SPDY Google이 2010년에 발표한 SPDY(SPeeDY)는 HTTP의 병목 현상을 해소하고 웹 페이지 로딩 시간을 50% 하다는 목표를 세우고 개발 🔎 HTTP의 병목 현상이 발생하는 이유 1개의 커넥션으로 1개의 요청만 보낼 수 있다 요청은 클라이언트에서만 시작할 수 있다. 응답만 받는 것은 불가능하다 요청/응답 헤더를 압축하지 않은 채로 보낸다. 헤더의 정보가 많을수록 지연이 심해진다 장황한 헤더를 보낸다. 매번 같은 헤더를 보내는 것은 낭비다 데이터 압축을 임의로 선택할 수 있다. 압축해서 보내는 것이 강제적이지 않다 🔎 Ajax에 의한 해결 방법 Ajax는 JavaScrip..

제 8장. 누가 엑세스하고 있는지를 확인하는 인증

HTTP에서 사용하는 인증 방법 4가지를 알아보자. 📘 1. BASIC 인증 웹 서버와 대응하고 있는 클라이언트 사이에서 이뤄지는 인증 방식 🔎 인증 절차 요청 송신 상태 코드 401로 응답해서 인증이 필요하다는 것을 전달 유저ID와 패스워드를 Base64 형식으로 인코딩한 것을 송신 인증 성공 시 200으로 응답하고, 실패 시 401로 응답 BASIC 인증에서는 Base64라는 인코딩 형식을 사용 (아무런 부가 정보 없이도 복호화가 가능하다는 것) BASIC 인증을 하면, 일반 브라우저에서는 로그아웃을 할 수 없다는 문제가 있음 사용상의 문제와 많은 웹 사이트에서 요구되는 보안 등급에 미치지 못한다는 면에서 그다지 많이 사용되고 있지는 않음 📘 2. DIGEST 인증 BASIC 인증의 약점을 보안한 것..

제 7장. 웹을 안전하게 지켜주는 HTTPS

📘 1. HTTP의 문제점과 해결 방안 HTTP의 3가지 문제점과 각각에 대한 해결 방안에 대해서 알아보자. 🔎 1-1. 평문(암호화하지 않은)이기 때문에 도청이 가능하다. HTTP를 사용한 요청과 응답의 통신 내용은 HTTP 자신을 암호화하는 기능이 없기 때문에 통신 전체가 암호화되지는 않는다. 즉, 평문(암호화되지 않은 메시지)으로 HTTP 메시지를 보낸다 어느 서버와 클라이언트가 통신을 할 때, 통신 경로 상에 있는 네트워크 기기, 케이블, 컴퓨터 등을 전부 자기 자신이 소유하고 있을 수는 없다. 그래서 악의를 가진 누군가가 HTTP 메시지를 엿볼 수 있다. 📌 해결책 통신 암호화 SSL(Secure Socket Layer)이나 TLS(Transport Layer Security)라는 다른 프로토콜..

제 6장. HTTP 헤더

HTTP 헤더 필드는 그 용도에 따라 4종류로 분류할 수 있다. 또한, HTTP 헤더 필드는 캐시와 비캐시 프록시의 동작을 정의하기 위해서 두 가지 카테고리로 분류되어 있다. End-to-end 헤더 요청이나 응답의 최종 수신자에게 전송 Hop-by-hop 헤더 한 번 전송에 대해서만 유효하고 캐시와 프록시에 의해서 전송되지 않는 것도 있음 📘 1. 일반적 헤더 필드(General Header Fields) 요청 메시지와 응답 메시지 둘 다 사용되는 헤더 헤더 필드 명 설명 Cache-Control 캐싱 동작 지정 Connection Hop-by-hop 헤더. 커넥션 관리 Date 메시지 생성 날짜 Pragma 메시지 제어 Trailer 메시지의 끝에 있는 헤더의 일람 Transfer-Encoding 메..

제 5장. HTTP와 연계하는 웹 서버

📘 1. 가상 호스트(Virtual Host) 가상 호스트 기능을 사용하면 물리적으로는 서버가 1대지만 가상으로 여러 대가 있는 것처럼 설정하는 것이 가능하다 고객마다 다른 도메인을 가지고, 다른 웹 사이트를 실행할 수 있다 이름 기반의 가상 호스트(Name-Based Virtual Host) 같은 IP 주소를 가지고 여러 개의 호스트명을 가진다. example1.com -> 192.168.0.1 example2.com -> 192.168.0.1 주소 기반의 가상 호스트(IP-Based Virtual Host) 하나의 서버에 있는 도메인들에게 각각 IP 주소를 할당하여 운용 example1.com -> 192.168.0.0 example2.com -> 192.168.0.1 포트 기반의 가상 호스트(Por..

제 4장. 결과를 전달하는 HTTP 상태 코드

📘 1. 상태 코드 클래스 클래스 설명 1XX Informational 요청을 받아들여 처리중 2XX Success 요청을 정상적으로 처리했음 3XX Redirection 요청을 완료하기 위해서 추가 동작이 필요 4XX Client Error 서버가 요청을 이해 불가능 5XX Server Error 서버가 요청 처리 실패 📘 2. 2XX 성공(Success) 요청이 정상적으로 처리되었음을 나타냄 200 OK 클라이언트가 보낸 리퀘스트를 서버가 정상 처리하였음을 나타냄 204 No Content 서버가 요청을 받아서 처리하는 데는 성공했지만 응답에 엔티티 바디를 포함하지 않음을 의미 클라이언트에서 서버에 정보를 보내는 것으로 족하고, 클라이언트에 대해서 새로운 정보를 보낼 필요가 없는 경우에 사용 206 ..

제 3장. HTTP 정보는 HTTP 메시지에 있다.

📘 1. 전송 효율을 높이는 인코딩 HTTP로 데이터를 전송할 경우 그대로 전송할 수 있지만 전송할 때에 인코딩(변환)을 실시함으로써 전송 효율을 높일 수 있다. 하지만, 컴퓨터에서 인코딩 처리를 해야 하기 때문에 CPU 등의 리소스는 보다 많이 소비하게 된다. 콘텐츠 코딩(Content Codings) 엔티티에 적용하는 인코딩을 가리키는데 엔티티 정보를 유지한 채로 압축한다. 종류 : gzip(GNU zip), compress(UNIX의 표준 압축), deflate(zlib), identity(인코딩 없음) 싱크 전송 코딩(Chunked transfer Coding) 엔티티 바디를 분할하는 기능 사이즈가 큰 데이터를 전송하는 경우에 데이터를 분할해서 조금씩 표시하도록 하는 것 📘 2. 여러 데이터를 보..

제 2장. 간단한 프로토콜 HTTP

📘 1. HTTP 메시지 구조 🔎 1. HTTP Requset 구조 Start Line [HTTP Method][Request Target][HTTP Version]로 구성 HTTP Method : 요청의 의도를 담고 있는 GET, POST, PUT, DELETE 등이 해당 Request Target : HTTP Request가 전송되는 목표 주소 HTTP Version : version에 따라서 Request 메시지 구조나 데이터가 다를 수 있어서 version을 명시해야 함 Http Headers 해당 Request에 대한 추가 정보를 담고 있는 부분 요청하려는 서버 호스트 이름, 포트 번호, cookie, authorization 등이 존재 Empty Line Headers의 끝을 빈 줄로 식별 B..

제 1장. 웹과 네트워크의 기본에 대해 알아보자

책(그림으로 배우는 Http&Network Basic)을 통해 HTTP와 NetWork에 대한 전체적인 큰 틀을 이해하고 그 내용들을 정리하고자 한다. 그렇기 때문에 추가적인 공부가 필요한 주제에 대해서는 다시 한번 자세히 블로깅을 하도록 하겠다. 📘 1. 기본용어 서버 리소스라고 불리는 파일 등의 정보를 저장 클라이언트 서버에 의뢰하는 웹 브라우저 HTTP(HyperText Transfer Protocol) 프로토콜 클라이언트에서 서버까지 일련의 흐름을 결정하고 있는 것 프로토콜(Protocol) 서로 다른 하드웨어와 운영체제 등을 가지고 서로 통신을 하기 위해 필요한 규칙 📘 2. TCP/IP 인터넷과 관련된 프로토콜들을 모은 것 TCP/IP는 '애플리케이션 계층', '트랜스포트 계층', '네트워크 ..

함께 자라기 - 애자일로 가는 길

이번 글에서는 간단한 책의 소개와 기록해 두면 좋을 몇 가지 내용을 적고자 한다. 현재 나의 상태에서 선정한 몇 가지 주제이므로 책에서 나온 다양한 내용들도 꼭 살펴보기를 바란다. 1. 책 소개 🌱 책은 자라기 함께 애자일 이라는 3개의 장으로 구성되어 있다. '1장. 자라기'에서는 학습을 학습하는 방법에 대해서, '2장. 함께'에서는 협력 방법에 대해서, '3장. 애자일'에서는 제목 그대로 애자일에 대해서 알아본다. 책의 내용을 요약하자면 아래와 같다. 함께 자라기 - 애자일로 가는 길 2. 두 가지 실수 문화 🌿 실수 문화는 실수 예방과 실수 관리로 나눌 수 있다. 실수 예방 실수로 가는 경로를 차단하는 것이다. 즉, 실수를 저지르지 말라고 요구하는 것이다. 실수 관리 실수가 나쁜 결과로 되기 전에 ..

객체지향의 사실과 오해(2)

4장. 역할, 책임, 협력 🚢 책임 책임은 객체지향 설계의 품질을 결정하는 가장 중요한 요소이다. 객체지향 설계의 예술은 적절한 객체에게 적절한 책임을 할당하는 데 있다. 설계를 시작하는 초반에는 어떤 객체가 어떤 책임을 가지고 어떤 방식으로 서로 협력해야 하는지에 대한 개요를 아는 것만으로도 충분하다. 책임과 협력의 구조가 자리를 잡기 전까지는 책임을 구현하는 방법에 대한 고민을 잠시 뒤로 미뤄두자. 역할 어떤 객체가 수행하는 책임의 집합은 객체가 협력 안에서 수행하는 역할을 암시한다. 역할은 재사용 가능하고 유연한 객체지향 설계를 낳는 매우 중요한 구성요소이다. 역할의 개념을 사용하면 유사한 협력을 추상화할 수 있다. 그리고 다양한 객체들이 협력에 참여할 수 있기 때문에 협력이 좀 더 유연해지며 다양..