Premsgo et ses failles de sécurité

WRInaute discret
Bonjour,
Il y a quelques temps en essayant Premsgo, (moteur de recherche qui a fait l'objet d'une présentation au sein de WRI) je suis tombé sur une faille (même plusieurs) d'importance critique.

Ces failles permettent d'injecter du code arbitraire sur la page de l'utilisateur, et d'ailleurs les failles que j'ai découvert sont des types de failles connus puisqu'il s'agit de failles de type XSS !

J'ai déjà signalé les failles en avril 2022, mais au moment ou j'écris ce message, je n'ai reçu aucune réponse du développeur (à savoir l'Annuaire français qui est présent sur ce forum) et aucune mesure n'a été prise pour corriger ces dernières ! Ce qui fait que les failles trainent depuis plusieurs mois !

Comment dire que c'est une question d'urgence avec ces failles !
 
WRInaute passionné
Bonjour,

Il faut arrêter Mr l'anonyme de Qwant de nous pister partout, de déclencher une guerre d'édition sur wikipédia avec des ex salariés de Qwant qui veulent écrire des vérités, et de raconter tout et surtout n'importe quoi sur des failles critiques sur du php, script au data et du sql qui n'existent que dans votre esprit, car il n'y a aucune technologie de ce type dans nos infrastructures de Premsgo, commerce Français contrairement a vos mensonges.

Je constates aussi que vous vous en prenez aussi à Smartrezo sur twitter, qui n'est pas très copain avec Qwant, vous passez votre temps a dénigrer les mécontents de Qwant.

Rien ne peut passer dans les bases et ne peut être récupéré par injection de code depuis au minima 2018, prouvez-le déjà !

Si ca vous amuse de modifier le css de votre page par des balises non fermées comme la balise "marquee" , amusez-vous des heures et des heures, et le jeu est fini car même sur de simples effets css, nous avons fermé les quelques petites ruses inoffensives sur le sujet.

Maintenant, si vous trouvez une faille critique, vous avez mon téléphone sur chaque page de l'annuaire français.

Merci d'arrêter ce petit jeu malsain et ayez l'honnêteté de vous faire connaitre, le jour où j'aurais brulé 100 millions d'euros d'argent public comme Qwant, vous pourrez lâcher votre venin.
 
Dernière édition:
WRInaute discret
Bonjour,

Il faut arrêter Mr l'anonyme de Qwant de nous pister partout, de déclencher une guerre d'édition sur wikipédia avec des ex salariés de Qwant qui veulent écrire des vérités, et de raconter tout et surtout n'importe quoi sur des failles critiques sur du php, script au data et du sql qui n'existent que dans votre esprit, car il n'y a aucune technologie de ce type dans nos infrastructures de Premsgo, commerce Français contrairement a vos mensonges.

Je constates aussi que vous vous en prenez aussi à Smartrezo sur twitter, qui n'est pas très copain avec Qwant, vous passez votre temps a dénigrer les mécontents de Qwant.

Rien ne peut passer dans les bases et ne peut être récupéré par injection de code depuis au minima 2018, prouvez-le déjà !

Si ca vous amuse de modifier le css de votre page par des balises non fermées comme la balise "marquee" , amusez-vous des heures et des heures, et le jeu est fini car même sur de simples effets css, nous avons fermé les quelques petites ruses inoffensives sur le sujet.

Maintenant, si vous trouvez une faille critique, vous avez mon téléphone sur chaque page de l'annuaire français.

Merci d'arrêter ce petit jeu malsain et ayez l'honnêteté de vous faire connaitre, le jour où j'aurais brulé 100 millions d'euros d'argent public comme Qwant, vous pourrez lâcher votre venin.

Bonjour,

Il s'agirait d'arrêter de me reforuger mes différends par rapport à Qwant de plus :

Primo : Les failles XSS ne se limitent pas qu'à PHP, SQL et peuvent s'appliquer partout si aucune protection n'est mise en place

Secondo : J'ai un enregistrement video et des captures d'écran prouvant bien que Premsgo possède des failles XSS (attention on ne parle pas de modifs CSS mais d'exécution de scripts et de redirection malveillantes), ce ne sont pas des mensonges, ce sont des faits !

Trio : des que j'ai découvert les failles je n'ai pas attendu pour vous les signaler au plus vite, manifestement vous avez refusé de répondre et par conséquent c'est vous qui jouez au jeu malsain, de base je ne voulais pas les divulguer au public, vous m'avez contraint et d'ailleurs j'ai des .eml attestant que j'ai bien signalé les failles XSS !

Encore une fois votre refourgage de mes différends avec vous sur Qwant et votre refus de répondre par rapport au sujet principal montre bien votre incompétence à développer un produit correct !
 
WRInaute passionné
Vous attendez quoi pour les diffuser?

Montrez-vous les entêtes http de redirection malveillante et de script, c'est impossible, le serveur http est codé à la main, les entêtes http aussi, ça n'a rien a voir avec du apache, ou nginx, ou haprix etc.

Les tableaux des variables http sont initiés à taille zéro, et construits selon les recherches et des paramètres fixes. Jamais il n'est possible d'injecter une ligne "Location" avec une redirection, jamais le serveur ne pourra retourner cela.

Quel est votre intérêt de tenter de torpiller un moteur en construction?

Personne n'est infaillible, mais depuis 2018, toutes les mesures avaient été prise pour sécuriser les injections dangereuses, et pas par moi, mais par une boite spécialisée que j'ai payée 8k de dev pour révision du code et la sécurité.
 
Dernière édition:
WRInaute discret
Et en exclusivité, une capture
Vous attendez quoi pour les diffuser?

Quel est votre intérêt de tenter de torpiller un moteur en construction?

Jusque là je ne voulais pas diffuser les pratiques pour exploiter ces failles ou ses conséquences mais en exclusivité :
Voici une capture d'écran d'une interprétation d'une faille XSS au niveau des résultats (ne concerne que le titre mais aurait pu très bien concerner un script) :
https://cjoint.com/c/LLflECuQPKf

Et aussi les fameux mails que je vous ai envoyés à vous :
https://cjoint.com/c/LLflJKXAIMf

L'enregistrement vidéo (daté du 2 dec) arrivera plus tard je n'ai pas encore accès à mon PC ou est stocké l'enregistrement.
 
WRInaute passionné
Vous délirez, il n'y a aucune zone qui puisse interpréter du javascript, aucune, car depuis 2018, toutes les entrées sont filtrées par :
valeurs{$i}:=Remplacer chaîne(valeurs{$i};"<";"&lt;") //empêche l'injection de code
en conséquence, seules quelques balises inoffensives css html qui n'ont pas de signe d'ouvertures complétées par le navigateur pouvaient encore subister, et déformer le texte. Mais jamais de scripts, c'est totalement impossible premièrement.

Deuxièmement, je vais vous montrer pourquoi il est impossible d'injecter des redirections. Le serveur utilisé n'est ni un apache, ni un nginx, ni haproxy ou tout autre, il est codé à la main, et les entêtes http sont fixés par du texte en dur, sur des tableaux initiés à zéro. Les liens des résultats sont du texte en dur. Et dans les menus avec des liens sur comportant les mots de la requêtes, vous pouvez injecter tout ce que vous voulez mais le lien commencera toujours par www.premsgo.fr, et premsgo remettra ses propres entêtes sans jamais interpréter une quelconque redirection, jamais, c'est impossible d'injecter une ligne d'entête "Location":
TABLEAU TEXTE($http_type;0)
TABLEAU TEXTE($http_data;0)
AJOUTER À TABLEAU($http_type;"Status")
AJOUTER À TABLEAU($http_data;"200 OK") // TODO; relister les codes
...
...
FIXER ENTÊTE HTTP($http_type;$http_data)
WEB ENVOYER DONNÉES($blob_donnees;*)

Alors vous m'expliquerez comment serait-il possible d'ajouter/injecter dans du code compilé une ligne "Location" au tableaux avec une redirection, et modifier des valeurs en texte brut?

Faites mumuse avec du css bien que ce ne soit plus possible, j'ai effectivement demandé a supprimer ces jeux css ou html, mais j'ai aussi enregistré votre article "

"Quand Premsgo (et Commerce français) met en danger ses utilisateurs"

...Injection SQL) sont corrigés ! Ah ben non, il y en a encore quelques sites qui ne se sont toujours pas penchés là dessus !
Alors qu'est ce qui ne va pas, en dehors d'une UI/UX catastrophique et des résultats absolument à la ramasse, le moteur de recherche présente des failles de sécurité qui peuvent mettre en danger ses utilisateurs ! Oui, oui ! Et attention ce sont des failles du type XSS (Cross Site Scripting) !

Ce qui fait qu'on peut injecter du code arbitraire sur Premsgo et les exemples de choses malveillantes qu'on peut faire avec sont nombreuses (exemples : redirection malveillante, prise de l'adresse IP de l'utilisateur etc...) !

J'espère pour vous que vous avez la preuve de vos "redirections malveillantes", "d'injection SQL" et la prise de l'adresse IP des autres utilisateurs,

Encore une fois, personne n'est infaillible, a voir les attaques sur des hopitaux encore ces jours-ci, mais de là a publier un article sur blog spot que je met en danger mes utilisateurs, venant de votre part dans votre acharnement sur le sujet de Qwant, c'est un peu trop exagéré.
 
WRInaute passionné
ET j'en profite pour dire que je suis en train de traiter le crawl de 8 millions de sites de Novembre dernier, de plus en plus de sites sont paramétrés pour permettre le crawl de Google et de Bing, bloquant les autres, je citerais par exemple www.legifrance.fr (qui ne répond pas aux emails), et bien d'autres.

Nous indiquons toujours dans le crawl le motif, crawl global, ou crawl image, ou pdf, ou vidéo, ou news, etc), merci de laisser passer les robots si vous voulez êtres indexé. La cadence a été rallongée a 1 page / 4 sec., répartie sur 20 app et un total de 1600 process simultanés (soit 400 pages sec au total des crawlers).


Rien de grave, car les nouveaux crawlers seront prets pour Janvier et nous referons un nouveau crawl complet en Février. Il nous faut encore 15 jours de moulinette pour filtrer tout le crawl fait recement fait, patience.
 
WRInaute discret
longo600 a dit:
J'espère pour vous que vous avez la preuve de vos "redirections malveillantes", "d'injection SQL" et la prise de l'adresse IP des autres utilisateurs,

Si vous lisez attentivement, vous regarderez que j'ai juste dit que les injections SQL sont des failles élémentaire, pas que Premsgo en contient
Il s'agirait d'arrêter de faire une mauvaise lecture
 
Dernière édition:
WRInaute discret
Et en exclusivité, une capture


Jusque là je ne voulais pas diffuser les pratiques pour exploiter ces failles ou ses conséquences mais en exclusivité :
Voici une capture d'écran d'une interprétation d'une faille XSS au niveau des résultats (ne concerne que le titre mais aurait pu très bien concerner un script) :
https://cjoint.com/c/LLflECuQPKf

Et aussi les fameux mails que je vous ai envoyés à vous :
https://cjoint.com/c/LLflJKXAIMf

L'enregistrement vidéo (daté du 2 dec) arrivera plus tard je n'ai pas encore accès à mon PC ou est stocké l'enregistrement.

MÀJ

Voici l'enregistrement vidéo démontrant la faille XSS, la démo comporte sur une redirection (ici une vidéo YT, mais cela peut être une page malveillante) qui était possible grâce à la faille XSS : https://www.cjoint.com/c/LLfqKXPff0V

J'ai aussi mis à disposition le contenu précis du mail et les envois (attention expire sous 21 jours à compter de la date de publication de ce message) : https://www.cjoint.com/c/LLfqZt7JQHV

J'ai aussi constaté que dans le forum une faille XSS à été déjà signalée (c'était alors au lancement de Premsgo), et alors l'explication technique était...incorrect :

Report de la faille XSS :
upload_2022-12-5_17-54-13.png

Explication :
clipimage.jpg

PS : Je suis développeur, je sais de quoi je parle et les failles que j'ai signalées rentrent bien dans la case "Failles XSS", d'ailleurs voici une vidéo qui explique ces types de failles :
 
WRInaute discret
Quel est votre intérêt de tenter de torpiller un moteur en construction?

Parce que c'est une faille élémentaire (XSS) qui est sensée être connue de tous et qui doit être corrigé/neutralisé avant même sa mise en production ! Même pour du bêta, je trouve ça inadmissible qu'une faille élémentaire traine !
 
WRInaute passionné
Je vais deziper la sauvegarde de lundi dernier, pour vérifier, mais si j'ai tord, ya pas de soucis, je n'ai jamais dénigré mes responsabilités.

Cela dit, si ca passe sur la sauvegarde, ça reste une redirection demandée par l'internaute qui ne changera jamais le serveur ni ne permettra de transférer des données d'un utilisateur a un autre, puisqu'encore une fois, les entêtes sont créés en texte dur ainsi que le contenu que personne ne peut changer de l'exterieur, a part pour lui même...

A part jouer avec soi-meme, ça n'a aucune incidence sur la sécurité des utilisateurs, zéro, ni injection Sql, ou php (qui n'existe pas), dixit l'expert de sécurité qui vérifie le code et est de loin hautement qualifié.
 
Dernière édition:
WRInaute discret
A part jouer avec soi-meme, ça n'a aucune incidence sur la sécurité des utilisateurs, zéro, dixit l'expert de sécurité qui vérifie le code et est de loin hautement qualifié.

Il est expliqué dans le mail que j'ai envoyé (maintenant sur le document que j'ai cité), qu'étant donné que la requête était dans l'URL de Premsgo (et tel qu'elle) :
upload_2022-12-5_21-22-15.png

Typiquement c'est les messages C'est bien toi sur les résultats : [lien premsgo] qui exploiteront les failles que j'ai cités plus tôt, pratique courante (et d'ailleurs pour rajouter de la crédibilité, les pirates peuvent pirater les envois SMS ou les accès Whatsapp afin de se faire passer pour leur amis) et ce mode opératoire à entre autres déjà été mis en oeuvre (voir le 1er bug listé sur la vidéo) :
Autre exemple (là cette fois-ci l'exemple est théorique) : https://www.instagram.com/reel/CZcckHgpCUD/
 
Dernière édition:
WRInaute discret
Plus de 20 jours se sont écoulés, des failles XSS subsistent toujours dans le moteur de recherche et manifestement pas de communication au public sur cet incident de sécurité...
 
Discussions similaires
Haut