24

clash 信息安全提醒，请勿把 clash 暴露在公网环境

1 year ago

source link: https://www.v2ex.com/t/946991
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

neoserver,ios ssh client

clash 信息安全提醒，请勿把 clash 暴露在公网环境

V2EX › 程序员

clash 信息安全提醒，请勿把 clash 暴露在公网环境

bigbyto · xingty · 1 小时 58 分钟前 · 2191 次点击

好像有非常多人把 clash 暴露在公网，且没有设置鉴权，导致这些可以被爬虫索引。比如: https://fofa.info/result?qbase64=Ym9keT0ie1wiaGVsbG9cIjpcImNsYXNoXCJ9Ig%3D%3D

随便点开一个，不用鉴权即可访问，通过 clash 本身的 api ，能获取到节点的一些信息，更要命的是能通过 api 获取到你当前访问的网站内容，请各位注意。

25 条回复 • 2023-06-08 17:18:01 +08:00

goodryb 1 小时 50 分钟前

偶尔看到有被刷流量的，就是这种吧

xuelang 1 小时 33 分钟前

不开局域网共享就不会暴露的吧

AoEiuV020JP 1 小时 33 分钟前

啊这，刚知道 clash 这个 api 后台居然是可以不设置密码的，

d873139022 1 小时 28 分钟前

这个应该订阅链接不会泄露吧

FaiChou 1 小时 26 分钟前

换端口加密码：
external-controller: :9938
secret: pa$$wd

cxxlxx 1 小时 26 分钟前

应该看不到具体的节点信息吧，

MrKrabs 1 小时 20 分钟前

external-controller: 10.0.0.11:7777
bind-address: 10.0.0.11

lieyan 1 小时 18 分钟前

看了一下 clash 的 restful api ，顶多泄露日志信息和配置信息，但是不会泄露具体的订阅信息和节点信息，但是可以通关 api 修改相关配置

yll 1 小时 17 分钟前

yll 1 小时 17 分钟前

@lieyan 所以说是不是没事儿奥，老哥

estk 1 小时 16 分钟前

家宽不开公网的话，没这个问题吧

ky1e 1 小时 15 分钟前

别暴露在公网就可以了。

garipan 1 小时 14 分钟前

最新版已经修复这个 bug 了
其实就是一个远程执行漏洞
7 楼说的在配置文件里修改端口就可以避免这一问题。

FaiChou 1 小时 12 分钟前

@cxxlxx
@d873139022
@lieyan
clash REST api 支持 CORS 所以就有问题了。因为你可以通过 yacd 来控制你的 clash, 比如增加一个 proxy-provider( fetch(':9091', {method: 'PUT', body: {一段恶意程序}} 这样恶意程序可以下载到电脑的任意位置（路径穿越漏洞）

参考：
https://github.com/Fndroid/clash_for_windows_pkg/issues/3891
https://hostloc.com/thread-1176031-1-1.html

mdn 1 小时 3 分钟前

修改端口没有用，页面上的搜索结果全是扫描出来的
@garipan
1. 不暴露在公网
2. 加密钥

blankmiss 1 小时 0 分钟前

@estk 开了公网也没事除非在路由器端口转发映射出去了

estk 39 分钟前

@blankmiss #16
感觉中招的都是服务器运行 clash ，并且开了 9090 端口

wheat0r 35 分钟前

可能是没开 IPv6 防火墙

mohumohu 31 分钟前

看了下接口，最多泄露节点的昵称，不会泄露节点信息。不过流量运行日志是可以看到连接情况。

Jirajine 21 分钟前

clash 一系的安全性本来就差，设计之初就不注重安全，大量的配置都是默认不安全的，像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆，基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭，甚至有些加强安全性的 pr 也不合。
还有什么闭源版本、闭源的 gui 。闭源软件没问题，但无法商业化的程序闭源意味着什么我就不说了。
在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。

kingnopwang 15 分钟前

@Jirajine 麻烦问下有没有相较于 Clash 安全性更有保障的产品推荐呢？ Windows 和 OpenWRT 上使用的

idealhs 7 分钟前

Clash 有开源的 Meta 内核的

ZeroDu 5 分钟前

@yll #10
@lieyan #8
有问题，还是大问题。
看油管这个视频 watch?v=4AnapDDMlyI

关于 · 帮助文档 · 博客 · nftychat · API · FAQ · 我们的愿景 · 实用小工具 · 4898 人在线 最高记录 5634 ·

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 34ms · UTC 09:23 · PVG 17:23 · LAX 02:23 · JFK 05:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.

Recommend

About Joyk

Aggregate valuable and interesting links.
Joyk means Joy of geeK