ExploitPreventer - ExploitPreventer（漏洞防护）

ExploitPreventer

这是一个 Fabric 模组，用于防范已知的客户端漏洞利用行为。

免责声明：使用此模组风险自负。维护者不对任何封禁或其他后果负责。

> 如果你对使用这些漏洞的服务器或插件感兴趣，请查看 耻辱榜。

警惕虚假下载

请仅从官方 Modrinth 页面下载 ExploitPreventer：https://modrinth.com/mod/exploitpreventer

虚假或非官方版本可能包含恶意代码。

防范的漏洞利用

此模组目前防范以下漏洞利用：

• [告示牌翻译漏洞](#告示牌翻译漏洞)
• [通过资源包发起本地 HTTP 请求](#通过资源包发起本地-http-请求)
• [通过资源包进行设备指纹识别](#通过资源包进行设备指纹识别)

告示牌翻译漏洞

链接：https://wurst.wiki/signtranslationvulnerability

服务器可以诱骗客户端解析翻译键名，并将解析后的文本发送回服务器。这使得服务器能够获取客户端安装了哪些模组（通过检查模组特定的翻译键名或按键绑定）以及玩家语言等信息。

我们的修复方案：我们阻止客户端在告示牌和铁砧编辑界面解析翻译键名和按键绑定。

通过资源包发起本地 HTTP 请求

链接：https://alaggydev.github.io/posts/cytooxien/

服务器可以通过发送特制的资源包 URL，强制客户端向任何 IP 地址（包括本地服务，例如 http://localhost:8080）发起 HTTP 请求。服务器还可以知道请求是否成功，或者响应的 SHA1 哈希值是否匹配特定值。服务器可以利用这一点来检测客户端机器上运行了哪些本地服务（例如路由器、电视，以及之前的 LiquidBounce）。

我们的修复方案：我们阻止指向本地 IP 的资源包 URL。理想情况下，我们希望阻止所有没有正确 CORS 标头的 HTTP 响应（就像浏览器一样），但这会破坏向后兼容性。

通过资源包进行设备指纹识别

链接：https://alaggydev.github.io/posts/cytooxien/

服务器可以滥用客户端资源包缓存来唯一标识客户端。这使得服务器能够在多个会话中追踪用户，即使用户更改了用户名或 IP 地址。

我们的修复方案：每个账户将拥有自己独立的资源包缓存目录。这样，服务器就无法在不同账户之间关联资源包。

通过插件通道检测模组

一些模组会注册插件通道以与服务器通信。服务器可以利用这些通道来检测客户端上是否存在某些模组。

这种行为是故意的，并且是许多模组正常运行所必需的（例如，用于模组特定功能、网络通信或与服务器端插件的兼容性）。

由于此信息是由模组本身明确公开的，因此本模组不会尝试阻止或隐藏插件通道的注册或使用。这样做会破坏合法的模组功能，并且超出了本项目的范围。

收到死亡威胁

由于本项目的性质——揭露并防范某些服务器使用的漏洞利用，我收到了来自那些感到威胁的个人的死亡威胁。这些威胁是严重的，不会被忽视。

然而，它们不会阻止我。如果说有什么影响的话，收到死亡威胁只会更加证明这个项目击中了要害。发送威胁的人显然希望这些漏洞利用继续存在，让玩家得不到保护。我将继续维护和改进这个模组，揭露新发现的漏洞利用，并更加努力地为玩家的隐私和安全而战。恐吓在这里是行不通的。

如果你知道任何此类威胁的背后主使，请向有关当局举报。

报告问题

如果你发现了绕过方法或任何其他客户端漏洞利用，请联系 Discord 上的 nikoverflow 或发送电子邮件至 nikoverflow007@gmail.com。请包含问题的简要摘要、清晰的分步重现步骤、你使用的 Minecraft 版本以及任何相关的日志或截图。