うつろい EC の在庫システムには、注文確定時に外部ロジスティクス API を叩く Webhook 機能がある。攻撃者がカスタム Webhook URL を設定でき、その URL に対してサーバが POST する。
レスポンスは攻撃者には見えない(在庫システムが内部処理するだけ)。しかし攻撃者がコントロールするドメインを Webhook URL に指定すれば、サーバからのリクエスト自体が「ヒット」として観測できる。これは Out-of-Band Application Security Testing(OAST)の典型シナリオ。