好像有非常多人把 clash 暴露在公网,且没有设置鉴权,导致这些可以被爬虫索引。比如: https://fofa.info/result?qbase64=Ym9keT0ie1wiaGVsbG9cIjpcImNsYXNoXCJ9Ig%3D%3D
随便点开一个,不用鉴权即可访问,通过 clash 本身的 api ,能获取到节点的一些信息,更要命的是能通过 api 获取到你当前访问的网站内容,请各位注意。
1
goodryb 321 天前
偶尔看到有被刷流量的,就是这种吧
|
2
xuelang 321 天前
不开局域网共享 就不会暴露的吧
|
3
AoEiuV020JP 321 天前
啊这,刚知道 clash 这个 api 后台居然是可以不设置密码的,
|
4
d873139022 321 天前
这个应该订阅链接不会泄露吧
|
5
FaiChou 321 天前 1
换端口 加密码:
external-controller: :9938 secret: pa$$wd |
6
cxxlxx 321 天前
应该看不到具体的节点信息吧,
|
7
MrKrabs 321 天前
external-controller: 10.0.0.11:7777
bind-address: 10.0.0.11 |
8
lieyan 321 天前
看了一下 clash 的 restful api ,顶多泄露日志信息和配置信息,但是不会泄露具体的订阅信息和节点信息,但是可以通关 api 修改相关配置
|
9
yll 321 天前
阿这
|
11
estk 321 天前
家宽不开公网的话,没这个问题吧
|
12
ky1e 321 天前
别暴露在公网就可以了。
|
13
garipan 321 天前
最新版已经修复这个 bug 了
其实就是一个远程执行漏洞 7 楼说的在配置文件里修改端口就可以避免这一问题。 |
14
FaiChou 321 天前
@cxxlxx
@d873139022 @lieyan clash REST api 支持 CORS 所以就有问题了。因为你可以通过 yacd 来控制你的 clash, 比如增加一个 proxy-provider( fetch(':9091', {method: 'PUT', body: {一段恶意程序}} 这样恶意程序可以下载到电脑的任意位置(路径穿越漏洞) 参考: https://github.com/Fndroid/clash_for_windows_pkg/issues/3891 https://hostloc.com/thread-1176031-1-1.html |
18
wheat0r 321 天前
可能是没开 IPv6 防火墙
|
19
mohumohu 321 天前
看了下接口,最多泄露节点的昵称,不会泄露节点信息。不过流量运行日志是可以看到连接情况。
|
20
Jirajine 321 天前 6
clash 一系的安全性本来就差,设计之初就不注重安全,大量的配置都是默认不安全的,像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆,基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭,甚至有些加强安全性的 pr 也不合。
还有什么闭源版本、闭源的 gui 。闭源软件没问题,但无法商业化的程序闭源意味着什么我就不说了。 在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。 |
21
kingnopwang 321 天前
@Jirajine 麻烦问下有没有相较于 Clash 安全性更有保障的产品推荐呢? Windows 和 OpenWRT 上使用的
|
22
superchijinpeng 321 天前
@Jirajine 求推荐
|
23
leo97 321 天前 via Android
|
24
idealhs 321 天前
Clash 有开源的 Meta 内核的
|
26
Jirajine 321 天前
@kingnopwang @superchijinpeng @leo97
要安全性的首先就是在 you know what you're doing 的前提下自己手动编写配置文件,确保程序的行为都是你已知且可控的。 服务器 /路由器建议直接用协议原版的程序,自己手写配置文件 /模板,或者自己写脚本更新订阅并转换格式,现在有 chatgpt 这件事方便多了。 客户端使用协议原版程序作为内核的话可以自己 review 一下 gui 生成的配置,不符合预期的改软件设置。 |
27
GrayXu 321 天前
9091 端口有密码的。。
|
28
adoal 321 天前
把 MongoDB 放在公网上且没啥保护措施的人大把大把
|
32
DemoJameson 321 天前
@idealhs 你是不是搞混了 cfw 和 clash
|
33
idealhs 321 天前 1
@DemoJameson 我觉得你才是两个都搞不清楚的人。cfw 作为一个 GUI 本身从未提供过对 meta 内核的原生支持,而 clash 也有非常多的实现。原始的 clash go 版本实现从来都是开源的,而作者被诟病的原因则是提供了不开源的 premium 内核拥有更多功能,meta 则是在开源的前提下又实现了 premium 内核的功能。
|