XSS Reflected- y creando un formulario falso a partir del XSS
https://websecuritydev.com/
By Dylan Irzi
Hacking Etico Archives - WebSecurityDev
Keek es una nueva plataforma de red social que permite a los usuarios crear 36 segundos de videos (“Keeks”) utilizando la cámara web, el iPhone o dispositivos Android y compartirlos con otras personas alrededor del mundo. Los usuarios siguen, suscríbase y responden a los vídeos, ya sea con comentarios de texto o respuestas de vídeo (“keekbacks“).
La aplicación móvil Keek está disponible en el iTunes App Store y Google Play.
esta platafoma de red social en los meses ha aumentado su numero de usurios y multiples famosos han enlazados sus cuentas con keek.ya que es mas rapido el metodo de verificacion de cuentas que en otraas redes sociales. pasando a otro tema de seguridad, investigando mas acerca de esta red social encontre multiples errores en los formularios ya que no filtran bien los input’s. encontre todo tipo de Cross site scripting ( Persistente, DOM-XSS , Reflected ) una lista muy mala para ser una red social.
Antes de hacer este post dias antes habia reportado un Cross site scripting persistente en perfil la cual el que visitara aquel perfil pudiera ser victima de redireccion , robo de sesion y entre otras tecnicas mas.
Esta fue tomada en cuenta pero no recibi ningun mail de respuesta y decidi que si un admin no se toma el tiepo de agradecer algo ps yo tampoco me tomare el tiempo de reportar nada. puede leerse de mi parte muy mal pero la verdad a quien le gusta que te le ignoren? o mejor dicho q fuece leido y tomado en cuenta pero que no reciba ninguna mensaje de respuesta. pff! yo personalmente digo que NO.
Captura de Cross site Scripting persistente.
Seguimos. con buscadores del red social mirando el metodo de busqueda no fue tan dificil bypassear el buscador para que ejecutara etiqueta html y javascript tan solo un (#) sobrepuesto antes del busqueda y este hacia un query sin filtro. 
Proof Of Concept:
y no solo un alert tambien el me permitia por medio de la busqueda saber mi cookie en esa web.
este aun esta funcionando asi que si quiere hacer alguna prueba ps adelante! todo suyo jejeje! y aqui mas juegos…:
Ya pasando a otro lugar tipo de Cross site scripting nos vamos por el DOM-XSS
Este lo encontre en “FAQ” o en español preguntas frecuentes o seccion de ayuda 
Aqui la foto del DOM-XSS
Bueno lo cierto esque tambien encontre un Full path diclosure Este no lo divulgare, encuentrelo ustedes
Bueno por parte de base de datos no encontre nada supongo que maneja un No-SQL como Mongol o CouchDB.
Gracias a todos por leer.. y Saludos a todo el equipo de WebSecurityDev.
Bytes!