viernes, 8 de agosto de 2014

#XSS en Hootlet (herramienta de Hootsuite (y ya está arreglado :P))

Hace tiempo instalé Hootlet, una herramienta (plugin para navegadores) de Hootsuite, como ustedes saben Hootsuite es una "suite" de ayuda para CM (Community Managers), en la cual puedes manejar distintas redes sociales y también diferentes perfiles.

En palabras de ellos mismos:

Hootsuite && Hootlet:

"We are not just a social relationship platform. We are not just a tech company. We are creators, innovators, and builders dedicated to revolutionizing the way you communicate."

Ambas son excelente en la ayuda que brindan, salvo por un pequeño problema que tenían (lo básico si lo arreglaron, no he revisado más), un simple xss, pero que funcionaba en casi cualquier sitio de búsquedas.

Esto quiere decir, si yo buscaba en google un xss, Google lo busca tal y como es, un simple texto, pero hootlet lo interpretaba como un xss, por lo que si yo le daba ese enlace a una persona con Hootlet instalado en su navegador, el veía un xss "en la página de google".

O sea, que si hacía una búsqueda de este tipo:

https://www.google.com.mx/?gws_rd=cr&ei=Q8WCUtuUL_Ly2gXGu4CgBQ#q=%3Cscript%3Ealert(document.cookie)%3C%2Fscript%3E

https://www.google.com.mx/?gws_rd=cr&ei=Q8WCUtuUL_Ly2gXGu4CgBQ#q=%3Ch1%3Easd%3C%2Fh1%3E

Me ejecutaba el xss.





Esto ya está reportado y arreglado, como lo mencioné arriba, no busqué más, pero podría haber alguna otra cosa útil :P

Hootlet está ligado a las cuentas que tienes en Hootsuite, por lo tanto, solo imaginen que se podía hacer con esto.

Cabe aclarar que la respuesta y atención por parte de Michael Tippett y Chris Noble en Hootsuite fue casi inmediata y muy amable, saludos a los dos! :D

PD por si alguien de Hootsuite o Hootlet lo lee:
Me quedé esperando mi nombre en el "Hall of fame" que prometieron :(

PS if anyone Hootsuite or Hootlet reads:
I kept waiting for my name in the "Hall of fame" promised :(

Saludos! :D

Komtec1

No hay comentarios: