Amazon修复了网站中可导致用户账户被劫持的严重XSS漏洞。该漏洞由巴西黑客(推特账户@BruteLogic)发现，当时还是0day漏洞，随后于上周六在XSSposed.org公布，但并没有告知Amazon。

Amazon在两天内火速修复该漏洞。这名黑客指出，从漏洞被公开到修复期间，Amazon的账户有可能被攻陷而网络浏览器有可能被利用。

　　顺我者昌，逆我者亡

黑客指出，之所以把漏洞完全公开，是因为Amazon没有给漏洞奖励报告提供现金表彰。

(漫画文字：我参加了WAF绕过竞赛……/供应商知道了一切，包括我是怎么实施攻击然后绕过他们的产品……/供应商从出售改进产品中赚了几百万。而我得到的只是一件破T恤！)

黑客的推文：顺我者昌，逆我者亡！

黑客指出，漏洞允许攻击者查看Amazon用户的信用卡，并以他们的名义购买物品，如果受害者被诱骗点击一个精心编造的恶意链接。

去年九月份，Amazon的Kindle管理页面中出现一个漏洞，允许攻击者在书名中注入恶意代码从而控制用户账户。

(责任编辑：安博涛)