clash 信息安全提醒,请勿把 clash 暴露在公网环境

2023-06-08 15:25:27 +08:00
 bigbyto

好像有非常多人把 clash 暴露在公网,且没有设置鉴权,导致这些可以被爬虫索引。比如: https://fofa.info/result?qbase64=Ym9keT0ie1wiaGVsbG9cIjpcImNsYXNoXCJ9Ig%3D%3D

随便点开一个,不用鉴权即可访问,通过 clash 本身的 api ,能获取到节点的一些信息,更要命的是能通过 api 获取到你当前访问的网站内容,请各位注意。

11145 次点击
所在节点    程序员
33 条回复
goodryb
2023-06-08 15:33:35 +08:00
偶尔看到有被刷流量的,就是这种吧
xuelang
2023-06-08 15:50:17 +08:00
不开局域网共享 就不会暴露的吧
AoEiuV020JP
2023-06-08 15:50:21 +08:00
啊这,刚知道 clash 这个 api 后台居然是可以不设置密码的,
d873139022
2023-06-08 15:55:42 +08:00
这个应该订阅链接不会泄露吧
FaiChou
2023-06-08 15:57:18 +08:00
换端口 加密码:
external-controller: :9938
secret: pa$$wd
cxxlxx
2023-06-08 15:57:44 +08:00
应该看不到具体的节点信息吧,
MrKrabs
2023-06-08 16:03:30 +08:00
external-controller: 10.0.0.11:7777
bind-address: 10.0.0.11
lieyan
2023-06-08 16:05:23 +08:00
看了一下 clash 的 restful api ,顶多泄露日志信息和配置信息,但是不会泄露具体的订阅信息和节点信息,但是可以通关 api 修改相关配置
yll
2023-06-08 16:05:55 +08:00
阿这
yll
2023-06-08 16:06:22 +08:00
@lieyan 所以说是不是没事儿奥,老哥
estk
2023-06-08 16:07:31 +08:00
家宽不开公网的话,没这个问题吧
ky1e
2023-06-08 16:08:12 +08:00
别暴露在公网就可以了。
garipan
2023-06-08 16:08:52 +08:00
最新版已经修复这个 bug 了
其实就是一个远程执行漏洞
7 楼说的在配置文件里修改端口就可以避免这一问题。
FaiChou
2023-06-08 16:11:19 +08:00
@cxxlxx
@d873139022
@lieyan
clash REST api 支持 CORS 所以就有问题了。因为你可以通过 yacd 来控制你的 clash, 比如增加一个 proxy-provider( fetch(':9091', {method: 'PUT', body: {一段恶意程序}} 这样恶意程序可以下载到电脑的任意位置(路径穿越漏洞)

参考:
https://github.com/Fndroid/clash_for_windows_pkg/issues/3891
https://hostloc.com/thread-1176031-1-1.html
mdn
2023-06-08 16:19:47 +08:00
修改端口没有用,页面上的搜索结果全是扫描出来的
@garipan
1. 不暴露在公网
2. 加密钥
blankmiss
2023-06-08 16:23:09 +08:00
@estk 开了公网也没事 除非在路由器端口转发 映射出去了
estk
2023-06-08 16:44:08 +08:00
@blankmiss #16
感觉中招的都是服务器运行 clash ,并且开了 9090 端口
wheat0r
2023-06-08 16:47:52 +08:00
可能是没开 IPv6 防火墙
mohumohu
2023-06-08 16:51:47 +08:00
看了下接口,最多泄露节点的昵称,不会泄露节点信息。不过流量运行日志是可以看到连接情况。
Jirajine
2023-06-08 17:02:18 +08:00
clash 一系的安全性本来就差,设计之初就不注重安全,大量的配置都是默认不安全的,像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆,基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭,甚至有些加强安全性的 pr 也不合。
还有什么闭源版本、闭源的 gui 。闭源软件没问题,但无法商业化的程序闭源意味着什么我就不说了。
在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/946991

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX