这是一个创建于 37 天前的主题,其中的信息可能已经有所发展或是发生改变。
ClashScan
(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/
代码开源在 GitHub ,页面部署在 GitHub Pages 上。
Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。
再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。
如果您没有修改默认配置,值得检测一次。
- 默认配置下容易检测的:Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
- 默认配置下相对安全的:最新的 Clash for Windows / Clash Nyanpasu
152 条回复 • 2024-10-17 23:38:26 +08:00
 |
101
Ahuanlien 36 天前
感谢提醒
|
 |
102
FengMubai 36 天前
在`/设置/外部控制`中, 配置 API 密钥 (改端口不能从根本上解决问题
|
 |
103
oneisall8955 36 天前
@SiuRayyy 高位端口+密钥,扫描不出来
|
 |
104
linzyu2 36 天前
Clash for Windows 最新版在哪里可以下载?
|
 |
105
caocong 36 天前
把 external-controller 的 127.0.0.1 改成 192.168.1.2 自己电脑的内网地址这网站监测不出来了,但全内网网段扫还是有风险,改成非正常地址又更新不了订阅
|
 |
106
nyxsonsleep 36 天前
@wcwac #91 https 请求没有证书,应该是实现不了中间人攻击的。
|
 |
108
riddle4ever 36 天前
@SiuRayyy 外部控制接口改成高端口,设置访问密钥
|
 |
109
KKFantasy 36 天前
奇怪,我第一次默认配置扫出来了。然后修改配置,增加秘钥,还是能扫出来,而且是和开始一样的端口和数据。
然后我关闭缓存且关闭软件,但还是能扫出来。 |
 |
110
iqoo 36 天前
之前写了个插件,会和本地通信的网站都被记录下来并且报警。
|
 |
111
Muniesa 36 天前
最简单的解决方法应该就是 ublock 订阅 Block Outsider Intrusion into LAN 了吧,但是引申出来非浏览器的其它软件也是可以通过这个方法检测……
|
|
112
KKFantasy 36 天前
@KKFantasy #109 可能是因为我开启了 clash verge 的服务模式,将对应进程关闭后再检测就好了。还是能扫出来开启了 7890 端口,但是扫不出来配置信息了。
|
 |
113
jiayouzl 36 天前
|
|
114
jiayouzl 36 天前
|
 |
115
Laobai 36 天前
直接扫出来了
|
|
116
jiayouzl 36 天前
  |
 |
117
lneoi 36 天前
https://yacd.metacubex.one/#/ 管理面板应该也是用这个逻辑?
|
 |
118
milukun 36 天前
换了 Clash Nyanpasu 就好了
|
 |
119
bbxx11 36 天前
ClashX Pro 1 秒检测到。。。我还没有反应过来。。。
您在使用 Clash:TCP/9090 |
 |
120
bli22ard 36 天前
兄弟,你这检测办法,笔记本检测一遍,估计得掉 2%的电
|
 |
122
luojianxhlxt 36 天前
最简单的办法应该是把本地地址从 127.0.0.1 修改为 127.0.0.2
|
 |
123
Goooooos 36 天前
ip 地址设置为 127.0.0.2 ,亲测扫不到
|
 |
124
mailx3 36 天前
感谢提醒,已修改 IP 和密钥
|
 |
126
MoRanjiang 36 天前
Brave v 1.70.119
Clash Verge Rev 1.7.7 未发现 Clash |
 |
127
yurenfeijing 36 天前
@mikewang 谢谢 检测出来了。我一直以为网页自动登录是用 url scheme 呢,看了下钉钉确实是 127.0.0.1
|
 |
128
liyafe1997 36 天前 via Android
现在的各种 Clash GUI 客户端都随机端口&随机 APIKEY 了吧
|
 |
129
yjxjn 36 天前
@luojianxhlxt #122 订阅就挂了。
|
 |
132
mingtdlb 36 天前
我靠 你们都好慢吗,我两秒就出结果了...是不是容易被入侵啊?
|
 |
133
coffeesun 36 天前
不到 1 秒钟就扫出来了,verge 默认设置
|
 |
134
raw0xff 35 天前
弱弱的问,有 api 密钥也有风险吗?
|
|
135
luojianxhlxt 35 天前
@yjxjn #129 看你客户端的逻辑了,我这边用的 Clash Verge Rev 是没问题的
|
 |
136
rulagiti 35 天前
这有啥,不做亏心事不怕鬼敲门,要不别上网了,没绝对安全的。
|
 |
137
linhongjun 34 天前
未发现 Clash
哈哈哈 从来不用 Clash ,都是 V2ray |
 |
138
yankebupt 33 天前
Clash 挂路由器了,有分流,路由器非默认 ip ,非默认端口,有密码……
没有测出来,估计没有特别明显的洞 但是 twitch 的版权代理检测很准,每次都说我是代理…… |
 |
139
YuTengjing 33 天前
clash x pro 检测不出来
|
 |
140
kimizen 31 天前
用的 mihomo party 没有检测出来
|
|
141
kimizen 31 天前
不对 用 edge 浏览器没检测出来 换了 Chrome 浏览器全出来了 是怎么回事
|
|
142
kimizen 31 天前
用 edge 浏览器再扫了一次,依旧没检测出来
Chrome 浏览器就全漏了 |
 |
143
vx007 29 天前
Clash Verge Rev ,电脑上用 edge 和 chrome 都测了,没有测出用 clash 和配置信息
|
 |
144
xuing 29 天前
CFW 客户端可以开启 Settings->General->Random Controller Port 以及 Random Mixed Port 。并通过 Settings->Security->Core Secret 生成 UUID 类型的 secret 。
虽然依旧可以被检测出来对应的 401 ,但至少不是裸奔你说是不是。  |
 |
146
jieran233 29 天前
拿 Firefox 新建了一个干净的配置文件测试了一下,扫描不出来
|
 |
147
ClarkAbe 28 天前
mihomo 检测不出来...其实只要你有好好看配置文档就能避免了
 |
 |
148
sky96111 28 天前 via Android  1
@gzlock 大部分 gui 内建的 webui 本质上用的就是外部端口控制,如 cfw 、clash verge rev 等。但有个例外 FlClash ,它是修改了内核,导出了面板控制需要的函数,直接暴露给 UI 层获取数据
https://github.com/chen08209/Clash.Meta/commit/a61c926a17d2ad9576012ded2b2bb428d3dd910d |
 |
149
mikewang OP @ClarkAbe 或许你可以换一个稍旧一点的版本测试。mihomo 在此工具发布之后已做出改进: https://github.com/MetaCubeX/mihomo/commit/fc9d5cfee944a75b989d17c637a321e73c52093a
因此这个工具针对的是工具发布之前的所有 clash 系列内核和 GUI 版本。包括 verge-rev 在内的各软件都会做出改进: https://github.com/clash-verge-rev/clash-verge-rev/issues/1792 https://github.com/clash-verge-rev/clash-verge-rev/issues/1783 ClashScan 目的是推进解决安全问题,扫不出来应是最终目的。 |
 |
150
scientificworld 28 天前
感谢提醒,之前都没想到还能这样检测。
|
|
151
milukun 18 天前
楼主救救我,我改用了 Clash Nyanpasu 以后
打开了 TUN 模式 结果 TUN 关掉以后,就不能访问国内网络了,必须要开启 TUN 模式,退出 Clash Nyanpasu 也不行,MAC 电脑 |
Select Language