这是一个创建于 387 天前的主题,其中的信息可能已经有所发展或是发生改变。
ClashScan
(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/
代码开源在 GitHub ,页面部署在 GitHub Pages 上。
Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。
再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。
如果您没有修改默认配置,值得检测一次。
- 默认配置下容易检测的:Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
- 默认配置下相对安全的:最新的 Clash for Windows / Clash Nyanpasu
第 1 条附言 · 349 天前
附:检测工具的原理 /t/1076961
 |
101
Ahuanlien 2024-09-29 13:55:39 +08:00
感谢提醒
|
 |
102
FengMubai 2024-09-29 13:58:22 +08:00
在`/设置/外部控制`中, 配置 API 密钥 (改端口不能从根本上解决问题
|
 |
104
linzyu2 2024-09-29 14:26:07 +08:00
Clash for Windows 最新版在哪里可以下载?
|
 |
105
caocong 2024-09-29 14:40:34 +08:00
把 external-controller 的 127.0.0.1 改成 192.168.1.2 自己电脑的内网地址这网站监测不出来了,但全内网网段扫还是有风险,改成非正常地址又更新不了订阅
|
 |
106
nyxsonsleep 2024-09-29 14:44:56 +08:00
@wcwac #91 https 请求没有证书,应该是实现不了中间人攻击的。
|
 |
108
riddle4ever 2024-09-29 15:13:19 +08:00
@SiuRayyy 外部控制接口改成高端口,设置访问密钥
|
 |
109
KKFantasy 2024-09-29 15:17:58 +08:00
奇怪,我第一次默认配置扫出来了。然后修改配置,增加秘钥,还是能扫出来,而且是和开始一样的端口和数据。
然后我关闭缓存且关闭软件,但还是能扫出来。 |
 |
110
iqoo 2024-09-29 15:20:32 +08:00
之前写了个插件,会和本地通信的网站都被记录下来并且报警。
|
 |
111
Muniesa 2024-09-29 15:21:07 +08:00
最简单的解决方法应该就是 ublock 订阅 Block Outsider Intrusion into LAN 了吧,但是引申出来非浏览器的其它软件也是可以通过这个方法检测……
|
|
112
KKFantasy 2024-09-29 15:28:48 +08:00
@KKFantasy #109 可能是因为我开启了 clash verge 的服务模式,将对应进程关闭后再检测就好了。还是能扫出来开启了 7890 端口,但是扫不出来配置信息了。
|
 |
113
jiayouzl 2024-09-29 15:39:41 +08:00
|
|
114
jiayouzl 2024-09-29 15:42:11 +08:00
|
 |
115
Laobai 2024-09-29 15:42:53 +08:00
直接扫出来了
|
|
116
jiayouzl 2024-09-29 15:43:07 +08:00
  |
 |
117
lneoi 2024-09-29 15:56:06 +08:00
https://yacd.metacubex.one/#/ 管理面板应该也是用这个逻辑?
|
 |
118
milukun 2024-09-29 16:21:07 +08:00
换了 Clash Nyanpasu 就好了
|
 |
119
bbxx11 2024-09-29 17:23:07 +08:00
ClashX Pro 1 秒检测到。。。我还没有反应过来。。。
您在使用 Clash:TCP/9090 |
 |
120
bli22ard 2024-09-29 18:09:19 +08:00
兄弟,你这检测办法,笔记本检测一遍,估计得掉 2%的电
|
 |
122
luojianxhlxt 2024-09-29 18:27:34 +08:00
最简单的办法应该是把本地地址从 127.0.0.1 修改为 127.0.0.2
|
 |
123
Goooooos 2024-09-29 18:27:48 +08:00
ip 地址设置为 127.0.0.2 ,亲测扫不到
|
 |
124
mailx3 2024-09-29 18:35:58 +08:00
感谢提醒,已修改 IP 和密钥
|
 |
126
MoRanjiang 2024-09-29 18:44:44 +08:00
Brave v 1.70.119
Clash Verge Rev 1.7.7 未发现 Clash |
 |
127
yurenfeijing 2024-09-29 18:55:27 +08:00
@mikewang 谢谢 检测出来了。我一直以为网页自动登录是用 url scheme 呢,看了下钉钉确实是 127.0.0.1
|
 |
128
liyafe1997 2024-09-29 19:02:02 +08:00 via Android
现在的各种 Clash GUI 客户端都随机端口&随机 APIKEY 了吧
|
 |
129
yjxjn 2024-09-29 19:02:08 +08:00
@luojianxhlxt #122 订阅就挂了。
|
 |
132
mingtdlb 2024-09-29 21:05:21 +08:00
我靠 你们都好慢吗,我两秒就出结果了...是不是容易被入侵啊?
|
 |
133
coffeesun 2024-09-29 22:01:18 +08:00
不到 1 秒钟就扫出来了,verge 默认设置
|
 |
134
raw0xff 2024-09-30 02:58:03 +08:00
弱弱的问,有 api 密钥也有风险吗?
|
|
135
luojianxhlxt 2024-09-30 09:30:42 +08:00
@yjxjn #129 看你客户端的逻辑了,我这边用的 Clash Verge Rev 是没问题的
|
 |
136
rulagiti 2024-09-30 09:40:14 +08:00
这有啥,不做亏心事不怕鬼敲门,要不别上网了,没绝对安全的。
|
 |
137
linhongjun 2024-10-01 11:11:13 +08:00
未发现 Clash
哈哈哈 从来不用 Clash ,都是 V2ray |
 |
138
yankebupt 2024-10-02 21:43:44 +08:00
Clash 挂路由器了,有分流,路由器非默认 ip ,非默认端口,有密码……
没有测出来,估计没有特别明显的洞 但是 twitch 的版权代理检测很准,每次都说我是代理…… |
 |
139
YuTengjing 2024-10-03 00:51:05 +08:00
clash x pro 检测不出来
|
 |
140
kimizen 2024-10-04 03:34:24 +08:00
用的 mihomo party 没有检测出来
|
|
141
kimizen 2024-10-04 03:37:12 +08:00
不对 用 edge 浏览器没检测出来 换了 Chrome 浏览器全出来了 是怎么回事
|
|
142
kimizen 2024-10-04 03:39:21 +08:00
用 edge 浏览器再扫了一次,依旧没检测出来
Chrome 浏览器就全漏了 |
 |
143
vx007 2024-10-06 04:07:57 +08:00
Clash Verge Rev ,电脑上用 edge 和 chrome 都测了,没有测出用 clash 和配置信息
|
 |
144
xuing 2024-10-06 17:42:57 +08:00
CFW 客户端可以开启 Settings->General->Random Controller Port 以及 Random Mixed Port 。并通过 Settings->Security->Core Secret 生成 UUID 类型的 secret 。
虽然依旧可以被检测出来对应的 401 ,但至少不是裸奔你说是不是。  |
 |
146
jieran233 2024-10-06 19:20:31 +08:00
拿 Firefox 新建了一个干净的配置文件测试了一下,扫描不出来
|
 |
147
ClarkAbe 2024-10-07 10:14:30 +08:00
mihomo 检测不出来...其实只要你有好好看配置文档就能避免了
 |
 |
148
sky96111 2024-10-07 14:08:35 +08:00 via Android  1
@gzlock 大部分 gui 内建的 webui 本质上用的就是外部端口控制,如 cfw 、clash verge rev 等。但有个例外 FlClash ,它是修改了内核,导出了面板控制需要的函数,直接暴露给 UI 层获取数据
https://github.com/chen08209/Clash.Meta/commit/a61c926a17d2ad9576012ded2b2bb428d3dd910d |
 |
149
mikewang OP @ClarkAbe 或许你可以换一个稍旧一点的版本测试。mihomo 在此工具发布之后已做出改进: https://github.com/MetaCubeX/mihomo/commit/fc9d5cfee944a75b989d17c637a321e73c52093a
因此这个工具针对的是工具发布之前的所有 clash 系列内核和 GUI 版本。包括 verge-rev 在内的各软件都会做出改进: https://github.com/clash-verge-rev/clash-verge-rev/issues/1792 https://github.com/clash-verge-rev/clash-verge-rev/issues/1783 ClashScan 目的是推进解决安全问题,扫不出来应是最终目的。 |
 |
150
scientificworld 2024-10-07 20:22:04 +08:00
感谢提醒,之前都没想到还能这样检测。
|
|
151
milukun 2024-10-17 17:37:37 +08:00
楼主救救我,我改用了 Clash Nyanpasu 以后
打开了 TUN 模式 结果 TUN 关掉以后,就不能访问国内网络了,必须要开启 TUN 模式,退出 Clash Nyanpasu 也不行,MAC 电脑 |
|
152
mikewang OP |
 |
153
WHOISEC 349 天前
蚌埠住了 节点信息都出来了 看到另一篇帖子 感觉在裸奔...
|
 |
154
nuevepicos 314 天前
ClashX Meta
用 Safari 打开,检测不到 用 Chrome 打开,一秒就检测出来了。 |
Select Language