(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/
代码开源在 GitHub ,页面部署在 GitHub Pages 上。
Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。
再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。
如果您没有修改默认配置,值得检测一次。
附:检测工具的原理 /t/1076961
101
Ahuanlien 65 天前
感谢提醒
|
102
FengMubai 65 天前
在`/设置/外部控制`中, 配置 API 密钥 (改端口不能从根本上解决问题
|
103
oneisall8955 65 天前
@SiuRayyy 高位端口+密钥,扫描不出来
|
104
linzyu2 65 天前
Clash for Windows 最新版在哪里可以下载?
|
105
caocong 65 天前
把 external-controller 的 127.0.0.1 改成 192.168.1.2 自己电脑的内网地址这网站监测不出来了,但全内网网段扫还是有风险,改成非正常地址又更新不了订阅
|
106
nyxsonsleep 65 天前
@wcwac #91 https 请求没有证书,应该是实现不了中间人攻击的。
|
108
riddle4ever 65 天前
@SiuRayyy 外部控制接口改成高端口,设置访问密钥
|
109
KKFantasy 65 天前
奇怪,我第一次默认配置扫出来了。然后修改配置,增加秘钥,还是能扫出来,而且是和开始一样的端口和数据。
然后我关闭缓存且关闭软件,但还是能扫出来。 |
110
iqoo 65 天前
之前写了个插件,会和本地通信的网站都被记录下来并且报警。
|
111
Muniesa 65 天前
最简单的解决方法应该就是 ublock 订阅 Block Outsider Intrusion into LAN 了吧,但是引申出来非浏览器的其它软件也是可以通过这个方法检测……
|
112
KKFantasy 65 天前
@KKFantasy #109 可能是因为我开启了 clash verge 的服务模式,将对应进程关闭后再检测就好了。还是能扫出来开启了 7890 端口,但是扫不出来配置信息了。
|
113
jiayouzl 65 天前
|
114
jiayouzl 65 天前
|
115
Laobai 65 天前
直接扫出来了
|
116
jiayouzl 65 天前
|
117
lneoi 65 天前
https://yacd.metacubex.one/#/ 管理面板应该也是用这个逻辑?
|
118
milukun 65 天前
换了 Clash Nyanpasu 就好了
|
119
bbxx11 65 天前
ClashX Pro 1 秒检测到。。。我还没有反应过来。。。
您在使用 Clash:TCP/9090 |
120
bli22ard 65 天前
兄弟,你这检测办法,笔记本检测一遍,估计得掉 2%的电
|
122
luojianxhlxt 65 天前
最简单的办法应该是把本地地址从 127.0.0.1 修改为 127.0.0.2
|
123
Goooooos 65 天前
ip 地址设置为 127.0.0.2 ,亲测扫不到
|
124
mailx3 65 天前
感谢提醒,已修改 IP 和密钥
|
126
MoRanjiang 65 天前
Brave v 1.70.119
Clash Verge Rev 1.7.7 未发现 Clash |
127
yurenfeijing 65 天前
@mikewang 谢谢 检测出来了。我一直以为网页自动登录是用 url scheme 呢,看了下钉钉确实是 127.0.0.1
|
128
liyafe1997 65 天前 via Android
现在的各种 Clash GUI 客户端都随机端口&随机 APIKEY 了吧
|
129
yjxjn 65 天前
@luojianxhlxt #122 订阅就挂了。
|
132
mingtdlb 65 天前
我靠 你们都好慢吗,我两秒就出结果了...是不是容易被入侵啊?
|
133
coffeesun 65 天前
不到 1 秒钟就扫出来了,verge 默认设置
|
134
raw0xff 65 天前
弱弱的问,有 api 密钥也有风险吗?
|
135
luojianxhlxt 64 天前
@yjxjn #129 看你客户端的逻辑了,我这边用的 Clash Verge Rev 是没问题的
|
136
rulagiti 64 天前
这有啥,不做亏心事不怕鬼敲门,要不别上网了,没绝对安全的。
|
137
linhongjun 63 天前
未发现 Clash
哈哈哈 从来不用 Clash ,都是 V2ray |
138
yankebupt 62 天前
Clash 挂路由器了,有分流,路由器非默认 ip ,非默认端口,有密码……
没有测出来,估计没有特别明显的洞 但是 twitch 的版权代理检测很准,每次都说我是代理…… |
139
YuTengjing 62 天前
clash x pro 检测不出来
|
140
kimizen 60 天前
用的 mihomo party 没有检测出来
|
141
kimizen 60 天前
不对 用 edge 浏览器没检测出来 换了 Chrome 浏览器全出来了 是怎么回事
|
142
kimizen 60 天前
用 edge 浏览器再扫了一次,依旧没检测出来
Chrome 浏览器就全漏了 |
143
vx007 58 天前
Clash Verge Rev ,电脑上用 edge 和 chrome 都测了,没有测出用 clash 和配置信息
|
144
xuing 58 天前
|
146
jieran233 58 天前
拿 Firefox 新建了一个干净的配置文件测试了一下,扫描不出来
|
147
ClarkAbe 57 天前
|
148
sky96111 57 天前 via Android 1
@gzlock 大部分 gui 内建的 webui 本质上用的就是外部端口控制,如 cfw 、clash verge rev 等。但有个例外 FlClash ,它是修改了内核,导出了面板控制需要的函数,直接暴露给 UI 层获取数据
https://github.com/chen08209/Clash.Meta/commit/a61c926a17d2ad9576012ded2b2bb428d3dd910d |
149
mikewang OP @ClarkAbe 或许你可以换一个稍旧一点的版本测试。mihomo 在此工具发布之后已做出改进: https://github.com/MetaCubeX/mihomo/commit/fc9d5cfee944a75b989d17c637a321e73c52093a
因此这个工具针对的是工具发布之前的所有 clash 系列内核和 GUI 版本。包括 verge-rev 在内的各软件都会做出改进: https://github.com/clash-verge-rev/clash-verge-rev/issues/1792 https://github.com/clash-verge-rev/clash-verge-rev/issues/1783 ClashScan 目的是推进解决安全问题,扫不出来应是最终目的。 |
150
scientificworld 57 天前
感谢提醒,之前都没想到还能这样检测。
|
151
milukun 47 天前
楼主救救我,我改用了 Clash Nyanpasu 以后
打开了 TUN 模式 结果 TUN 关掉以后,就不能访问国内网络了,必须要开启 TUN 模式,退出 Clash Nyanpasu 也不行,MAC 电脑 |
153
WHOISEC 28 天前
蚌埠住了 节点信息都出来了 看到另一篇帖子 感觉在裸奔...
|