飞社-令人惊奇的创意工作者社区-首页信息安全代理检测:在线检测您是否在使用 Clash
FSHEX=FIND+SHARE+EXPRESS
飞社-令人惊奇的创意工作者社区- 是一个关于发现分享表达的地方
现在登录
没有账号?  立即注册

代理检测:在线检测您是否在使用 Clash

mikewang · 2024-9-28 18:55:59 · 367 次点击
# ClashScan

(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/

代码开源在 GitHub ,页面部署在 GitHub Pages 上。

------

Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。  
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。

再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。

**如果您没有修改默认配置,值得检测一次。**

------

- 默认配置下容易检测的:Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
- 默认配置下相对安全的:最新的 Clash for Windows / Clash Nyanpasu
举报· 367 次点击
登录 注册 站外分享
显示全部 | 最早评论
42 条回复  
43#
hoofei 小成 2024-9-28 23:24:14
被检测到了
42#
kenvix 小成 2024-9-28 23:22:58
TLDR:
如果没开管理端口 secret ,会直接扫出正在打开的网站和节点名称和地址信息
开了 secret 能知道你在用,但无法获取隐私信息
41#
vvhy 小成 2024-9-28 23:18:47
firefox 上被 uBlock Origin 拦截了,关了 ub 之后也被 CORS 拦截了
不会真有人不加密码跑在公网上吧 https://en.fofa.info/result?qbase64=ImV4dGVybmFsLWNvbnRyb2xsZXI6IDkwOTAi
40#
proxytoworld 初学 2024-9-28 23:01:59
@shitshit666  蜜罐已经自动化利用 cfw 漏洞了...更别说扫描 clash 端口
39#
TossPig 小成 2024-9-28 22:53:10
我还以为能扫到我旁路由上的 clash ,结果啥都没监测到
38#
shitshit666 小成 2024-9-28 22:48:42
是时候写个蜜罐了,看看是谁偷偷检测了 clash
37#
ziseyinzi 小成 2024-9-28 22:27:36
再加几个常用的路由/旁路由网关地址
36#
RyougiShiki 小成 2024-9-28 22:21:20
检测到了,订阅信息都出来了。
35#
ko20 小成 2024-9-28 22:15:17
我用的局域网当中的某台机器部署的 clash 暴露出来的 http/https/socks5 代理,然后使用 switchy omega 插件添加 socks5 proxy profile 的。没有检测到 clash
34#
loveqianool 小成 2024-9-28 22:05:31
http://sing-box.sagernet.org/zh/configuration/experimental/clash-api

access_control_allow_origin

自 sing-box 1.10.0 起

允许的 CORS 来源,默认使用 *。

要从公共网站访问私有网络上的 Clash API ,必须在 access_control_allow_origin 中明确指定它而不是使用 *。
access_control_allow_private_network

自 sing-box 1.10.0 起

允许从私有网络访问。

要从公共网站访问私有网络上的 Clash API ,必须启用 access_control_allow_private_network 。
下一页 »
12345下一页
手机版小黑屋飞社-令人惊奇的创意工作者社区
Powered by FSHEX ♥ GMT+8, 2024-11-24 16:28, Processed in 0.096559 second(s), 27 queries .
鲁ICP备2024064694号-2
返回顶部