ClashScan
(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/
代码开源在 GitHub ,页面部署在 GitHub Pages 上。
Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。
再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。
如果您没有修改默认配置,值得检测一次。
- 默认配置下容易检测的:Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
- 默认配置下相对安全的:最新的 Clash for Windows / Clash Nyanpasu
137 条回复 • 2024-10-01 11:11:13 +08:00
 |
101
Ahuanlien 3 天前
感谢提醒
|
 |
102
FengMubai 3 天前
在`/设置/外部控制`中, 配置 API 密钥 (改端口不能从根本上解决问题
|
 |
103
oneisall8955 3 天前
@SiuRayyy 高位端口+密钥,扫描不出来
|
 |
104
linzyu2 3 天前
Clash for Windows 最新版在哪里可以下载?
|
 |
105
caocong 3 天前
把 external-controller 的 127.0.0.1 改成 192.168.1.2 自己电脑的内网地址这网站监测不出来了,但全内网网段扫还是有风险,改成非正常地址又更新不了订阅
|
 |
106
nyxsonsleep 3 天前
@wcwac #91 https 请求没有证书,应该是实现不了中间人攻击的。
|
 |
108
riddle4ever 3 天前
@SiuRayyy 外部控制接口改成高端口,设置访问密钥
|
 |
109
KKFantasy 3 天前
奇怪,我第一次默认配置扫出来了。然后修改配置,增加秘钥,还是能扫出来,而且是和开始一样的端口和数据。
然后我关闭缓存且关闭软件,但还是能扫出来。 |
 |
110
iqoo 3 天前
之前写了个插件,会和本地通信的网站都被记录下来并且报警。
|
 |
111
Muniesa 3 天前
最简单的解决方法应该就是 ublock 订阅 Block Outsider Intrusion into LAN 了吧,但是引申出来非浏览器的其它软件也是可以通过这个方法检测……
|
|
112
KKFantasy 3 天前
@KKFantasy #109 可能是因为我开启了 clash verge 的服务模式,将对应进程关闭后再检测就好了。还是能扫出来开启了 7890 端口,但是扫不出来配置信息了。
|
 |
113
jiayouzl 3 天前
|
|
114
jiayouzl 3 天前
|
 |
115
Laobai 3 天前
直接扫出来了
|
|
116
jiayouzl 3 天前
  |
 |
117
lneoi 3 天前
https://yacd.metacubex.one/#/ 管理面板应该也是用这个逻辑?
|
 |
118
milukun 3 天前
换了 Clash Nyanpasu 就好了
|
 |
119
bbxx11 2 天前
ClashX Pro 1 秒检测到。。。我还没有反应过来。。。
您在使用 Clash:TCP/9090 |
 |
120
bli22ard 2 天前
兄弟,你这检测办法,笔记本检测一遍,估计得掉 2%的电
|
 |
122
luojianxhlxt 2 天前
最简单的办法应该是把本地地址从 127.0.0.1 修改为 127.0.0.2
|
 |
123
Goooooos 2 天前
ip 地址设置为 127.0.0.2 ,亲测扫不到
|
 |
124
mailx3 2 天前
感谢提醒,已修改 IP 和密钥
|
 |
126
MoRanjiang 2 天前
Brave v 1.70.119
Clash Verge Rev 1.7.7 未发现 Clash |
 |
127
yurenfeijing 2 天前
@mikewang 谢谢 检测出来了。我一直以为网页自动登录是用 url scheme 呢,看了下钉钉确实是 127.0.0.1
|
 |
128
liyafe1997 2 天前 via Android
现在的各种 Clash GUI 客户端都随机端口&随机 APIKEY 了吧
|
 |
129
yjxjn 2 天前
@luojianxhlxt #122 订阅就挂了。
|
 |
132
mingtdlb 2 天前
我靠 你们都好慢吗,我两秒就出结果了...是不是容易被入侵啊?
|
 |
133
coffeesun 2 天前
不到 1 秒钟就扫出来了,verge 默认设置
|
 |
134
raw0xff 2 天前
弱弱的问,有 api 密钥也有风险吗?
|
|
135
luojianxhlxt 2 天前
@yjxjn #129 看你客户端的逻辑了,我这边用的 Clash Verge Rev 是没问题的
|
 |
136
rulagiti 2 天前
这有啥,不做亏心事不怕鬼敲门,要不别上网了,没绝对安全的。
|
 |
137
linhongjun 1 天前
未发现 Clash
哈哈哈 从来不用 Clash ,都是 V2ray |
Select Language