|
|
发表于 2024-9-29 01:40:29
来自手机
|
查看全部
|阅读模式
欢迎注册论坛,享受更多奶昔会员权益!
您需要 登录 才可以下载或查看,没有账号?注册
×
本帖最后由 btpanel 于 2024-9-29 01:41 编辑
ClashScan
(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/
代码开源在 GitHub ,页面部署在 GitHub Pages 上。
Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。
再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。
如果您没有修改默认配置,值得检测一次。
原理是默认端口,并且 API 没有上密码,就被读了。
解决方法:
在 yaml 里面,修改下面两个配置:
external-controller: '127.0.0.1:9090'
secret: 'xxxxxxx'
把 7890 改成随机高位端口,避免扫描; secret 改为随机密码(如果没有这个配置手动加上)。
如果被检测并读出服务器配置了,那么你之前可能一直在裸奔(
默认配置下容易检测的:Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
默认配置下相对安全的:最新的 Clash for Windows / Clash Nyanpasu |
|
雷达卡
照妖镜
发表于 2024-9-29 04:27:37