> > SUGEEEEEEEEEEEEEEEEEEEEEEE
> でもこれamazonに飛ばされてるよ？(;´Д`)

当たり前だろ。amazonのクッキーを抜くには仕様上amazonに飛ばすしかない。
amazonのドメイン上で任意のJavascriptを実行できるというのがXSS脆弱性。
このスクリプトはalertしているだけだが、悪意があれば外部のサーバに記録させる事も可能。

参考：2006/05/19(金)00時45分21秒