clash 信息安全提醒,请勿把 clash 暴露在公网环境
source link: https://www.v2ex.com/t/946991
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
clash 信息安全提醒,请勿把 clash 暴露在公网环境
好像有非常多人把 clash 暴露在公网,且没有设置鉴权,导致这些可以被爬虫索引。比如: https://fofa.info/result?qbase64=Ym9keT0ie1wiaGVsbG9cIjpcImNsYXNoXCJ9Ig%3D%3D
随便点开一个,不用鉴权即可访问,通过 clash 本身的 api ,能获取到节点的一些信息,更要命的是能通过 api 获取到你当前访问的网站内容,请各位注意。
goodryb 1 小时 50 分钟前 偶尔看到有被刷流量的,就是这种吧
|
xuelang 1 小时 33 分钟前 不开局域网共享 就不会暴露的吧
|
AoEiuV020JP 1 小时 33 分钟前 啊这,刚知道 clash 这个 api 后台居然是可以不设置密码的,
|
d873139022 1 小时 28 分钟前 这个应该订阅链接不会泄露吧
|
FaiChou 1 小时 26 分钟前 换端口 加密码:
external-controller: :9938 secret: pa$$wd |
cxxlxx 1 小时 26 分钟前 应该看不到具体的节点信息吧,
|
MrKrabs 1 小时 20 分钟前 external-controller: 10.0.0.11:7777
bind-address: 10.0.0.11 |
lieyan 1 小时 18 分钟前 看了一下 clash 的 restful api ,顶多泄露日志信息和配置信息,但是不会泄露具体的订阅信息和节点信息,但是可以通关 api 修改相关配置
|
yll 1 小时 17 分钟前 |
estk 1 小时 16 分钟前 家宽不开公网的话,没这个问题吧
|
ky1e 1 小时 15 分钟前 别暴露在公网就可以了。
|
garipan 1 小时 14 分钟前 最新版已经修复这个 bug 了
其实就是一个远程执行漏洞 7 楼说的在配置文件里修改端口就可以避免这一问题。 |
FaiChou 1 小时 12 分钟前 @cxxlxx
@d873139022 @lieyan clash REST api 支持 CORS 所以就有问题了。因为你可以通过 yacd 来控制你的 clash, 比如增加一个 proxy-provider( fetch(':9091', {method: 'PUT', body: {一段恶意程序}} 这样恶意程序可以下载到电脑的任意位置(路径穿越漏洞) 参考: https://github.com/Fndroid/clash_for_windows_pkg/issues/3891 https://hostloc.com/thread-1176031-1-1.html |
wheat0r 35 分钟前 可能是没开 IPv6 防火墙
|
mohumohu 31 分钟前 看了下接口,最多泄露节点的昵称,不会泄露节点信息。不过流量运行日志是可以看到连接情况。
|
Jirajine 21 分钟前 clash 一系的安全性本来就差,设计之初就不注重安全,大量的配置都是默认不安全的,像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆,基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭,甚至有些加强安全性的 pr 也不合。
还有什么闭源版本、闭源的 gui 。闭源软件没问题,但无法商业化的程序闭源意味着什么我就不说了。 在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。 |
kingnopwang 15 分钟前 @Jirajine 麻烦问下有没有相较于 Clash 安全性更有保障的产品推荐呢? Windows 和 OpenWRT 上使用的
|
idealhs 7 分钟前 Clash 有开源的 Meta 内核的
|
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK