web-dev-qa-db-ja.com

Minecraftサーバーの脆弱性をどのようにして知る/見つけるのですか?

私はMinecraft(Java-私たちはMinecraftについてのみ話しているJava)のことを13〜14歳でプレイしたことを覚えており、このサーバーの所有者はサーバーがハッキングされたと主張している、また、攻撃者はオペレーター(ゲーム内管理者)のステータスなどのMinecraftに対する追加の特権を取得したり、グリーフィング(許可なく他の人のビルドを破壊したり)や他の種類の攻撃を取得したりすることができました。

しかし、攻撃者がそれをどのようにしたのか、またはサーバーの所有者が何が起こっているのかさえ知っているのかと、私はいつも疑問に思っていました。オペレーターのステータスの取得、クリエイティブモードの取得、大げさな大失敗など、多くのModと「トリック」がありますが、私が見た限りでは、ほとんどの場合、偽のMod(おそらく、プレーヤーのマルウェアに感染している)です。またはソーシャルエンジニアリング攻撃。

Minecraftサーバーへの正当な攻撃はありますかJavaアプリケーション自体、それによりプレイヤーは自分にオペレーター(管理者)ステータスを与えることができますか?これらの攻撃の技術的な詳細を見つけるにはどうすればよいですか?

ソーシャルエンジニアリング攻撃は理にかなっていますが、他の攻撃がどのように発生したのかを理解する方法にはまだ困惑しています。それは改造されたサーバーだったので、いくつかの悲嘆の保護は機能しませんでした。これらの攻撃は理にかなっています。しかし、Minecraft Javaサーバーを介して管理者アクセス権を取得することについては理解できませんでした。多分彼らはサーバーにSSH接続しましたか?多分彼らはMulticraft(MinecraftのWebベースのコントロールパネル)にハッキングしましたか?多分サーバー上の別のアプリケーション、MinecraftサーバーではなかったJavaアプリケーション?おそらく、サーバー所有者が資格情報を入力するための偽のWebページを持っているか、パスワード?それはまだソーシャルエンジニアリング攻撃です。

1
Eliter

Minecraftサーバーには「オンラインモード」と呼ばれる機能があり、Minecraft認証サーバーに対してサーバーに接続するすべてのプレーヤーのユーザー名とUUIDを検証します。この機能はデフォルトで有効になっています。接続するプレーヤーが本人であることを確認する必要があります。ただし、一部のサーバーでは、Minecraftの海賊版のコピーを持つプレーヤーが接続できるように、この機能を無効にしています。

サーバーで「オンラインモード」が有効になっていない場合、攻撃者は任意のユーザー名/ UUIDでサーバーに接続する可能性があります。オペレーターのユーザー名/ UUIDを使用してサーバーに接続した場合、サーバーはオペレーターであると信じ、オペレーターに特権を与えます。

この問題を回避する方法は、オンラインモードをオンのままにすることです。オフにする必要がある場合は、サーバーに認証プラグインを追加できるので、プレーヤーはパスワードを入力して本人であることを確認する必要がありますが、これにより、毎回サーバーに参加する人の労力が増えます。


はるか昔、Minecraftサーバーには、他のプレイヤーのユーザー名/ UUIDを偽装できる脆弱性が時々ありましたが、それらはすべてすぐに修正されたと思います。

1
Macil

ユーザーがサーバーオペレーターのUUIDを偽装する場合があります。この場合、ユーザーはそのユーザーのすべての特権を続行するか、独自のUUIDをOPできます。これを防ぐ主な方法は、2FAプラグインを使用することです。

0
Zach P.