代理检测：在线检测您是否在使用 Clash

103 天前

mikewang

ClashScan

（推荐使用最新 Chrome 内核浏览器） https://mikewang000000.github.io/ClashScan/

代码开源在 GitHub ，页面部署在 GitHub Pages 上。

Clash 是一个比较常见的代理软件，有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS （跨域）的，这带来了不小的安全隐患。

再加上很多 GUI 默认不加 Secret 进行身份验证，即使运行在 127.0.0.1 ，也能被外部网站随时调用。

如果您没有修改默认配置，值得检测一次。

默认配置下容易检测的：Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
默认配置下相对安全的：最新的 Clash for Windows / Clash Nyanpasu

25972 次点击

所在节点

信息安全

154 条回复

Ahuanlien

102 天前

感谢提醒

FengMubai

102 天前

在`/设置/外部控制`中, 配置 API 密钥 (改端口不能从根本上解决问题

oneisall8955

102 天前

@SiuRayyy 高位端口+密钥，扫描不出来

linzyu2

102 天前

Clash for Windows 最新版在哪里可以下载？

caocong

102 天前

把 external-controller 的 127.0.0.1 改成 192.168.1.2 自己电脑的内网地址这网站监测不出来了，但全内网网段扫还是有风险，改成非正常地址又更新不了订阅

nyxsonsleep

102 天前

@wcwac #91 https 请求没有证书，应该是实现不了中间人攻击的。

Cu635

102 天前

@linzyu2 #104
没了，删库了，别处第三方的你能放心？

riddle4ever

102 天前

@SiuRayyy 外部控制接口改成高端口，设置访问密钥

KKFantasy

102 天前

奇怪，我第一次默认配置扫出来了。然后修改配置，增加秘钥，还是能扫出来，而且是和开始一样的端口和数据。
然后我关闭缓存且关闭软件，但还是能扫出来。

iqoo

102 天前

之前写了个插件，会和本地通信的网站都被记录下来并且报警。

Muniesa

102 天前

最简单的解决方法应该就是 ublock 订阅 Block Outsider Intrusion into LAN 了吧，但是引申出来非浏览器的其它软件也是可以通过这个方法检测……

KKFantasy

102 天前

@KKFantasy #109 可能是因为我开启了 clash verge 的服务模式，将对应进程关闭后再检测就好了。还是能扫出来开启了 7890 端口，但是扫不出来配置信息了。

jiayouzl

102 天前

跑在全局路由器上的,没检测到.

https://imgur.com/a/n1BJe0x
https://imgur.com/a/QO5C8TA

jiayouzl

102 天前

跑在全局路由器上的,没检测到.

https://imgur.com/6CUVJKE
https://imgur.com/aubIpTT

Laobai

102 天前

直接扫出来了

jiayouzl

102 天前

lneoi

102 天前

https://yacd.metacubex.one/#/ 管理面板应该也是用这个逻辑？

milukun

102 天前

换了 Clash Nyanpasu 就好了

bbxx11

102 天前

ClashX Pro 1 秒检测到。。。我还没有反应过来。。。
您在使用 Clash：TCP/9090

bli22ard

102 天前

兄弟，你这检测办法，笔记本检测一遍，估计得掉 2%的电

第 6 页／共 8 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1076579

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.