V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mikewang
V2EX  ›  信息安全

代理检测:在线检测您是否在使用 Clash

  mikewang · 79 天前 · 25088 次点击
这是一个创建于 79 天前的主题,其中的信息可能已经有所发展或是发生改变。

ClashScan

(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/

代码开源在 GitHub ,页面部署在 GitHub Pages 上。


Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。

再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。

如果您没有修改默认配置,值得检测一次。


  • 默认配置下容易检测的:Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
  • 默认配置下相对安全的:最新的 Clash for Windows / Clash Nyanpasu
第 1 条附言  ·  41 天前

附:检测工具的原理 /t/1076961

154 条回复    2024-12-10 18:31:22 +08:00
1  2  
Ahuanlien
    101
Ahuanlien  
   78 天前
感谢提醒
FengMubai
    102
FengMubai  
   78 天前
在`/设置/外部控制`中, 配置 API 密钥 (改端口不能从根本上解决问题
oneisall8955
    103
oneisall8955  
   78 天前
@SiuRayyy 高位端口+密钥,扫描不出来
linzyu2
    104
linzyu2  
   78 天前
Clash for Windows 最新版在哪里可以下载?
caocong
    105
caocong  
   78 天前
把 external-controller 的 127.0.0.1 改成 192.168.1.2 自己电脑的内网地址这网站监测不出来了,但全内网网段扫还是有风险,改成非正常地址又更新不了订阅
nyxsonsleep
    106
nyxsonsleep  
   78 天前
@wcwac #91 https 请求没有证书,应该是实现不了中间人攻击的。
Cu635
    107
Cu635  
   78 天前
@linzyu2 #104
没了,删库了,别处第三方的你能放心?
riddle4ever
    108
riddle4ever  
   78 天前
@SiuRayyy 外部控制接口改成高端口,设置访问密钥
KKFantasy
    109
KKFantasy  
   78 天前
奇怪,我第一次默认配置扫出来了。然后修改配置,增加秘钥,还是能扫出来,而且是和开始一样的端口和数据。
然后我关闭缓存且关闭软件,但还是能扫出来。
iqoo
    110
iqoo  
   78 天前
之前写了个插件,会和本地通信的网站都被记录下来并且报警。
Muniesa
    111
Muniesa  
   78 天前
最简单的解决方法应该就是 ublock 订阅 Block Outsider Intrusion into LAN 了吧,但是引申出来非浏览器的其它软件也是可以通过这个方法检测……
KKFantasy
    112
KKFantasy  
   78 天前
@KKFantasy #109 可能是因为我开启了 clash verge 的服务模式,将对应进程关闭后再检测就好了。还是能扫出来开启了 7890 端口,但是扫不出来配置信息了。
jiayouzl
    113
jiayouzl  
   78 天前
跑在全局路由器上的,没检测到.

https://imgur.com/a/n1BJe0x
https://imgur.com/a/QO5C8TA
jiayouzl
    114
jiayouzl  
   78 天前
跑在全局路由器上的,没检测到.

https://imgur.com/6CUVJKE
https://imgur.com/aubIpTT
Laobai
    115
Laobai  
   78 天前
直接扫出来了
jiayouzl
    116
jiayouzl  
   78 天前

lneoi
    117
lneoi  
   78 天前
https://yacd.metacubex.one/#/ 管理面板应该也是用这个逻辑?
milukun
    118
milukun  
   78 天前
换了 Clash Nyanpasu 就好了
bbxx11
    119
bbxx11  
   78 天前
ClashX Pro 1 秒检测到。。。我还没有反应过来。。。
您在使用 Clash:TCP/9090
bli22ard
    120
bli22ard  
   78 天前
兄弟,你这检测办法,笔记本检测一遍,估计得掉 2%的电
Rache1
    121
Rache1  
   78 天前
@KKFantasy #112 verge 默认开启了 外部控制,而且,没关的地方,只能设置一下密钥、修改端口。
luojianxhlxt
    122
luojianxhlxt  
   78 天前
最简单的办法应该是把本地地址从 127.0.0.1 修改为 127.0.0.2
Goooooos
    123
Goooooos  
   78 天前
ip 地址设置为 127.0.0.2 ,亲测扫不到
mailx3
    124
mailx3  
   78 天前
感谢提醒,已修改 IP 和密钥
Remember
    125
Remember  
   78 天前
@jiayouzl 这个是啥前端?
MoRanjiang
    126
MoRanjiang  
   78 天前
Brave v 1.70.119
Clash Verge Rev 1.7.7
未发现 Clash
yurenfeijing
    127
yurenfeijing  
   78 天前
@mikewang 谢谢 检测出来了。我一直以为网页自动登录是用 url scheme 呢,看了下钉钉确实是 127.0.0.1
liyafe1997
    128
liyafe1997  
   78 天前 via Android
现在的各种 Clash GUI 客户端都随机端口&随机 APIKEY 了吧
yjxjn
    129
yjxjn  
   78 天前
@luojianxhlxt #122 订阅就挂了。
Nasei
    130
Nasei  
   78 天前
@Muniesa 非浏览器软件都自己装的,看自己信不信任了,但是在浏览器里浏览网站一般很容易忽视会泄漏什么东西
jiayouzl
    131
jiayouzl  
   78 天前
@Remember 软路由后台
mingtdlb
    132
mingtdlb  
   78 天前
我靠 你们都好慢吗,我两秒就出结果了...是不是容易被入侵啊?
coffeesun
    133
coffeesun  
   78 天前
不到 1 秒钟就扫出来了,verge 默认设置
raw0xff
    134
raw0xff  
   78 天前
弱弱的问,有 api 密钥也有风险吗?
luojianxhlxt
    135
luojianxhlxt  
   78 天前
@yjxjn #129 看你客户端的逻辑了,我这边用的 Clash Verge Rev 是没问题的
rulagiti
    136
rulagiti  
   78 天前
这有啥,不做亏心事不怕鬼敲门,要不别上网了,没绝对安全的。
linhongjun
    137
linhongjun  
   76 天前
未发现 Clash
哈哈哈 从来不用 Clash ,都是 V2ray
yankebupt
    138
yankebupt  
   75 天前
Clash 挂路由器了,有分流,路由器非默认 ip ,非默认端口,有密码……
没有测出来,估计没有特别明显的洞
但是 twitch 的版权代理检测很准,每次都说我是代理……
YuTengjing
    139
YuTengjing  
   75 天前
clash x pro 检测不出来
kimizen
    140
kimizen  
   74 天前
用的 mihomo party 没有检测出来
kimizen
    141
kimizen  
   74 天前
不对 用 edge 浏览器没检测出来 换了 Chrome 浏览器全出来了 是怎么回事
kimizen
    142
kimizen  
   74 天前
用 edge 浏览器再扫了一次,依旧没检测出来
Chrome 浏览器就全漏了
vx007
    143
vx007  
   72 天前
Clash Verge Rev ,电脑上用 edge 和 chrome 都测了,没有测出用 clash 和配置信息
xuing
    144
xuing  
   71 天前
CFW 客户端可以开启 Settings->General->Random Controller Port 以及 Random Mixed Port 。并通过 Settings->Security->Core Secret 生成 UUID 类型的 secret 。
虽然依旧可以被检测出来对应的 401 ,但至少不是裸奔你说是不是。
xuing
    145
xuing  
   71 天前
@xuing 当然这是最简单缓解措施,非常感谢楼主的分享以及另一篇原理的分享,原来还可以通过路径和请求延迟来进行判断。
jieran233
    146
jieran233  
   71 天前
拿 Firefox 新建了一个干净的配置文件测试了一下,扫描不出来
ClarkAbe
    147
ClarkAbe  
   71 天前
mihomo 检测不出来...其实只要你有好好看配置文档就能避免了

sky96111
    148
sky96111  
   70 天前 via Android   ❤️ 1
@gzlock 大部分 gui 内建的 webui 本质上用的就是外部端口控制,如 cfw 、clash verge rev 等。但有个例外 FlClash ,它是修改了内核,导出了面板控制需要的函数,直接暴露给 UI 层获取数据
https://github.com/chen08209/Clash.Meta/commit/a61c926a17d2ad9576012ded2b2bb428d3dd910d
mikewang
    149
mikewang  
OP
   70 天前
@ClarkAbe 或许你可以换一个稍旧一点的版本测试。mihomo 在此工具发布之后已做出改进: https://github.com/MetaCubeX/mihomo/commit/fc9d5cfee944a75b989d17c637a321e73c52093a

因此这个工具针对的是工具发布之前的所有 clash 系列内核和 GUI 版本。包括 verge-rev 在内的各软件都会做出改进:
https://github.com/clash-verge-rev/clash-verge-rev/issues/1792
https://github.com/clash-verge-rev/clash-verge-rev/issues/1783

ClashScan 目的是推进解决安全问题,扫不出来应是最终目的。
scientificworld
    150
scientificworld  
   70 天前
感谢提醒,之前都没想到还能这样检测。
milukun
    151
milukun  
   60 天前
楼主救救我,我改用了 Clash Nyanpasu 以后
打开了 TUN 模式
结果 TUN 关掉以后,就不能访问国内网络了,必须要开启 TUN 模式,退出 Clash Nyanpasu 也不行,MAC 电脑
mikewang
    152
mikewang  
OP
   60 天前
@milukun 是不是有代理设置没关:检查 网络偏好设置 - 高级 - 代理
再不行检查你的路由表:netstat -nrfinet
或者尝试重启。
WHOISEC
    153
WHOISEC  
   41 天前
蚌埠住了 节点信息都出来了 看到另一篇帖子 感觉在裸奔...
nuevepicos
    154
nuevepicos  
   6 天前
ClashX Meta

用 Safari 打开,检测不到
用 Chrome 打开,一秒就检测出来了。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5434 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 26ms · UTC 03:00 · PVG 11:00 · LAX 19:00 · JFK 22:00
Developed with CodeLauncher
♥ Do have faith in what you're doing.