-
Notifications
You must be signed in to change notification settings - Fork 156
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
SSL 证书检查问题 #2767
Comments
由于修复可能导致难以预计的网络问题,等到下下个版本在快照版尝试修复 |
主要是哪些网络问题?是为了兼容旧的系统环境还是? |
之前是因为 Mojang 还是哪个第三方的 https 有问题,才加的这玩意儿,已经忘了…… |
64E9-8D3D-F90A-8B9F |
你的解锁码:0NKMUpo74v8w+rvsu93HihqQHXDpO0mM |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
检查项
描述
PCL2 启动器有一个关于 SSL 证书检查的安全问题,不会验证 SSL 证书的有效性。
具体可以见 Application.xaml.vb 的 第 119 行:
PCL2/Plain Craft Launcher 2/Application.xaml.vb
Line 119 in 037e6b1
这就意味着,一旦有人尝试进行中间人攻击去获取 Minecraft 登录凭据,那么 PCL2 将不会显示任何与 SSL 证书有关的警告。
理论上还可以做到获取外置登录服务的 accessToken ,下载时替换文件,修改内容等,影响较大。
重现步骤
使用 mitmproxy 或其他工具开启一个代理抓包,并且不安装自签名证书。
个人编写了一个辅助 poc 用于测试,配合 mitmdump 使用。
https://gist.github.com/litwak913/9b11e0306e19e4b6c6aa0dddaf655fe0
获取 accessToken 和 UUID 信息
插入 Profile JSON 内容
日志与附件
Log1.txt
The text was updated successfully, but these errors were encountered: