我如何知道/发现“我的服务器”漏洞？

Question

我记得我在13到14岁的时候玩过“我的世界”( Java --我们在电脑上只谈论“我的世界”Java)，让这个服务器所有者声称服务器被黑客入侵，攻击者能够在“我的世界”上获得额外的特权，比如操作员(游戏中的管理)状态，以及悲伤(未经许可破坏他人的构建)和其他类型的攻击。

但我一直想知道攻击者是如何做到的，或者服务器所有者是否知道发生了什么。在获得操作员身份、获得创造性模式、blaw blaw blaw方面，有很多mods和“诀窍”，但据我所见，其中大部分要么是伪造的mods (可能充斥着针对玩家的恶意软件)，要么是社会工程攻击。

是否有任何合法的攻击对我的服务器Java应用程序本身，让玩家给自己的运营商(管理)地位？我怎样才能找到这些攻击的技术细节？

社会工程攻击是有意义的，但我仍然困惑于如何弄清楚其他攻击是如何发生的。因为它是一个经过修改的服务器，所以有些令人遗憾的保护措施没有起作用。这些袭击是有道理的。但我从来不了解他们如何通过Min克拉夫特Java服务器获得管理员访问权限。也许他们已经进入服务器了？也许他们黑进了多机(一个基于网络的“我的世界”的控制面板)？也许是服务器上的另一个应用程序，那不是Min克拉夫特服务器Java应用程序？也许他们利用Mojang帐户，或者有一个虚假的网页让服务器所有者填写凭据，以获得密码？那仍将是一场社会工程攻击。

Answer 1

“我的世界”服务器有一个名为“联机模式”的特性，它验证所有连接到服务器的玩家的用户名和UUID。这个特性在默认情况下是启用的，并且有必要确保连接的玩家是他们所说的人。然而，一些服务器禁用了这个功能，以便那些盗版的“我的世界”的玩家可以连接起来。

如果服务器没有启用“联机模式”，则攻击者可以使用任何用户名/UUID连接到服务器。如果他们用操作员的用户名/UUID连接到服务器，那么服务器就会相信他们是操作符，并给予他们操作员特权。

避免此问题的方法是保留联机模式。如果必须关闭它，则可以向服务器添加身份验证插件，因此玩家必须输入密码以确认他们是谁，但这会增加人们每次加入服务器的工作量。

在遥远的过去，“我的世界”服务器有时会有漏洞，允许人们伪造另一个玩家的用户名/UUID，但我相信这些都是及时修复的。

Answer 2

有时，用户可以欺骗服务器操作员UUID。在这种情况下，他们可以继续使用该用户的所有权限，也可以运行自己的UUID。防御这种情况的主要方法是使用一个2FA插件。