代理检测:在线检测您是否在使用 Clash

18 小时 20 分钟前
 mikewang

ClashScan

(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/

代码开源在 GitHub ,页面部署在 GitHub Pages 上。

Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。

再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。

如果您没有修改默认配置,值得检测一次。

8897 次点击
所在节点    信息安全
92 条回复
LandCruiser
17 小时 15 分钟前
@s4d clash 的 gui 你点击打开,相当于在本机运行了一个程序在 127.0.0.1 的某个端口,知道一些 clash 的内部接口,比如获取节点的,然后调用这个接口可以了。
http://127.0.0.1:9097/proxies 比如这个接口,就可以获取 clash 的所有代理节点
gzlock
17 小时 15 分钟前
诸君,刚刚实测把外部控制端口设置为 0 ,即可解决这个问题,clash verge rev 提供的第三方 webui 也无法访问到 clash 核心的数据了

代理功能依然可用,但不确定这些 gui 软件是不是也使用外部控制来控制 clash 核心的,所以把这个信息发出来让大家参与找出 [把外部控制端口设置为 0] 会不会引起其它问题
katsusan
17 小时 15 分钟前
我看了目前在用的机场给 clash 下发的配置都开了这个 external-controller 还是用的默认 9090 端口没加鉴权,
这么大个漏洞居然现在才发现( ╯□╰ )
gzlock
17 小时 14 分钟前
@gzlock #22 好吧,初始阶段没有找到后我就发表了以上回复,但是后续缓慢扫描阶段还是读取出在使用 clash ,上面那个回复当我没发😂😂
gzlock
17 小时 12 分钟前
@gzlock #24 原因:设置 0 端口后,clash 核心就使用随机端口作为外部控制端口了
Goooooos
17 小时 10 分钟前
127.0.0.1 的还好
openclash 那个如果不是 127.0.0.1 的才危险
chesha1
17 小时 10 分钟前
这速度也太慢了
ochatokori
17 小时 9 分钟前
再加个把常见网关地址都扫了
LandCruiser
17 小时 8 分钟前
其实我觉得问题不大,上上外网又不是什么杀头的罪,真要较真,运营商那什么都能查到。
ewiglicht
17 小时 7 分钟前
貌似原理是循环请求?
因为默认配置无加密,所以请求成功了就知道用户使用了代理软件,甚至根据 api 获取完整配置信息。
因为我修改了控制台的密码,所以检测不出来。
但是我记得如果有密码,HTTP 的响应好像是 403 还是什么来着,而不是无响应,能不能也根据这个判断是否使用了代理类软件。。。
Ashore
17 小时 4 分钟前
用手机 chrome 请求电脑版网页,能检测出来。。
mikewang
17 小时 3 分钟前
@ewiglicht 是的,加了密码也能扫出来。不过浏览器扫效率太低了,您看上面有很多说慢的(
另外连接数高了也会失败(漏掉)。所以加密码和高端口算是安全的。
mikewang
17 小时 1 分钟前
@Ashore 手机版 Clash 也能读出来吗(捂脸)
出乎意料了。按钮问题是主题设计的,我有空改下。
llsquaer
16 小时 58 分钟前
这么说本机加个防火墙是不是就好了?
lekai63
16 小时 53 分钟前
所以感觉不是改 7890 端口。而是 external 相关配置咯,端口和 secret
mikewang
16 小时 49 分钟前
#17 @mikewang
#23 @lekai63

是的。我 #17 写的 external-controller 默认应该是 9090 。最好 7890 和 9090 两个一起改了。浏览器一定条件下也能检测 7890 端口的情况,不过读不到东西。
czfy
16 小时 42 分钟前
感觉和好久之前提过的这个情况类似?不过看起来是没什么人重视
https://www.v2ex.com/t/946991
nyxsonsleep
16 小时 36 分钟前
把 web 控制直接改成其他地址就行了,比如 127.0.0.2 ,关掉这个控制功能。

没密钥的控制端口,来点漏洞都可以注入攻击了。
mouyase
16 小时 35 分钟前
还以为是什么高端的骚操作,原来只是扫本机的 clash 的 webui 和 proxy 端口……
jqtmviyu
16 小时 32 分钟前
singbox 没扫出来.
其实把常见的客户端端口 9090 9999 之类的扫一扫就行了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1076579

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX