Clash能被检测了，快来试试看吧

btpanel · 发表于 2024-9-29 01:40:29

马上注册，免受广告困扰，轻松兑换eSIM！

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 btpanel 于 2024-9-29 01:41 编辑

ClashScan
（推荐使用最新 Chrome 内核浏览器） https://mikewang000000.github.io/ClashScan/

代码开源在 GitHub ，页面部署在 GitHub Pages 上。

Clash 是一个比较常见的代理软件，有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS （跨域）的，这带来了不小的安全隐患。

再加上很多 GUI 默认不加 Secret 进行身份验证，即使运行在 127.0.0.1 ，也能被外部网站随时调用。

如果您没有修改默认配置，值得检测一次。

原理是默认端口，并且 API 没有上密码，就被读了。

解决方法：

在 yaml 里面，修改下面两个配置：

external-controller: '127.0.0.1:9090'
secret: 'xxxxxxx'

把 7890 改成随机高位端口，避免扫描； secret 改为随机密码（如果没有这个配置手动加上）。

如果被检测并读出服务器配置了，那么你之前可能一直在裸奔（

默认配置下容易检测的：Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
默认配置下相对安全的：最新的 Clash for Windows / Clash Nyanpasu

Northern_Lights · 发表于 2024-9-29 04:27:37

还好我不用垃圾clash🥰

skynee · 发表于 2024-9-29 08:20:02

正在用,... 有甚麼其它推介呢?

Godtokoo · 发表于 2024-9-29 08:42:14

skynee 发表于 2024-9-29 08:20
正在用,... 有甚麼其它推介呢?

按楼主说的改下API secret就行了

Northern_Lights · 发表于 2024-9-29 09:03:07

skynee 发表于 2024-9-29 08:20
正在用,... 有甚麼其它推介呢?

v2 neko都不错不是