先日久しぶりにAmazon.co.jpにアクセスしてみると、何やら見慣れないボタンが右上に追加されていました。 どうやらAmazon.co.jpを利用するときの言語を設定できる機能のようです。 この機能のURLは以下のような形になっていました。 http://www.amazon.co.jp/gp/customer-preferences/select-language/ref=topnav_lang?ie=UTF8&preferencesReturnUrl=%2f 怪しい気配がしますね。 試しに、﹁'﹂(%27)をURLの末尾に挿入して出力されるコードを確認してみます。 http://www.amazon.co.jp/gp/customer-preferences/select-language/ref=topnav_lang?ie=UTF8&preferencesReturnUrl=%
![Amazon.co.jpの新機能にあったXSS](https://cdn-ak-scissors.b.st-hatena.com/image/square/a166836e84890536172929c799216982d6db4701/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEguerWw6vwvYZzngkLtVc_MxecCIY6VmIWP_7PjpE8iJgP6cdysA3m0NZ7VgvlVXgx0rW9OrePBkP1RKiI-pZyvvewe-lozswjAN7QJPMcu6L5Fu9oBjwLykcTzjXW3TfXCkD7Om4JKeRw%2Fw1200-h630-p-k-no-nu%2F%2525E3%252582%2525B9%2525E3%252582%2525AF%2525E3%252583%2525AA%2525E3%252583%2525BC%2525E3%252583%2525B3%2525E3%252582%2525B7%2525E3%252583%2525A7%2525E3%252583%252583%2525E3%252583%252588%2B2016-05-22%2B1.10.28.png)