ytn.out

Tweet

こんにちわこんにちわゆったんです。
Amazonに脆弱性を報告した話でもしますねっ

AmazonにXSSを報告するのは何回目だったか忘れたのですが、ふと思ったので記してみます。
先日修正報告と公開の了承を頂きました。
ちなみにAmazonに脆弱性を報告してギフトカードを得る夢は今回ももれなく散りました☆

今回は脆弱性を見つけようとして見つけたわけじゃなく、柚子胡椒氏に柚子胡椒送ろうとしたら偶然見つかった、みたいな感じです。

今回あったのは、ギフトメッセージの確認画面における蓄積型（Self）XSSです。
こんなふうにメッセージを入力して、

確認画面で「数量を変更または削除する」をクリックすると、

こんな感じにalertがでます。

至って単純なXSSですね。
メッセージにこの文字列をつっこんだのは、XSSをするときにimgタグをよく使うからなんとなくですね。
scriptタグいれたものは過去に某氏が送ってきていて、ちゃんとエスケープ処理されてるものだと思ってたら違ったらしいっ汗

最後に、私は基本的に、面倒事に巻き込まれないよう脆弱性を受け付けているようなサービスで探してます。
これからもXSSしていきたいですっ☆

余談：
Amazonギフトカードはもらえなかったですが、みなさんからの支援いつでもお待ちしております（笑）
よろしくお願いしますっ
Amazon ほしいものリスト