Размер видео: 1280 X 720853 X 480640 X 360
Показать панель управления
Автовоспроизведение
Автоповтор
关于有的朋友认为这不算是漏洞,我想补充几个观点:1、路径穿越本身并不被视为漏洞,因为很多程序允许 人为 的路径穿越。2、内网环境没有设置Clash API密钥很常见,因为内网环境通常被认为是相对安全的,大多数人不会在内网环境中设置授权密码。3、CORS本身也不是漏洞,而是浏览器实施的一种安全机制。但是,由于内网环境未设置Clash API密钥,这使得任意网站可以通过浏览器的CORS机制调用Clash API接口。同时,路径穿越的存在使得调用API接口后,恶意代码可以被写入到电脑上的任意有权限的位置(非人为的路径穿越)。这样的攻击链就构成了漏洞。尽管集齐这三个条件可能看起来很困难,但实际上,视频中展示的Clash Verge+Clash.Meta组合的默认配置就满足了这三个条件。对于不熟悉安全性的普通用户来说,默认情况下就存在这个漏洞。因此,视频中主要演示如何通过为Clash API添加密钥来打断这个攻击链,以确保安全性。如果大家有其他观点,欢迎在评论区留言交流。
对clash完全不了解,调用clash的api,密钥是如何发送的呢?如果是通过basic认证发送,那么只要用户之前在浏览器上访问过web界面,浏览器缓存了密钥,那么还是可以利用cors进行攻击的吧?
我使用v2rayN,能讲讲v2rayN的漏洞吗
1
小tips,fofa扫出来的应该大部分是部署在路由上的openclash,它本身对路径穿越是有防护的,以及对权限限制比较完善,所以还是比较安全的
我还担心路由运营openclash会不会中招,放心了
Security through obscurity ,利用隐蔽性达到安全性永远不是一个好的方法。该解决的除了是path traversal的漏洞以外,最主要的是应该解决未授权的用户能随意控制API接口的问题。不设置API key就可以拥有RWX控制是一个很大的漏洞。当然,理论上不应该允许负责clash 的用户拥有写入任何目录的权限。顶多是给写入config目录的权限,而且不应该有execution的权限。
从RWX角度解决问题就搞复杂了,升了一个scope,况且Clash更新配置文件需要RW,漏洞链攻击的第三方组件如Powershell也不理会文件的X属性,Clash全interface监听小端口权限不会小。漏洞链是SSRF+broken access control+directory traversal,破坏任意一环都能有效缓解利用,这也是从软件漏洞本身去修复,RWX的思路更适合HIDS/EDR这类兜底产品来负责。类Electron客户端漏洞层出不穷跟它用network socket作内部RPC调用有很大关系,SSRF成本太低。
@@soneomeelse 当然最优先解决的应该是dir traversal 的问题。我不用windows伺服器,所以用的是linux的角度看RWX权限控制。理论上如果负责clash的用户无法写入除自身config和log目录,也可避免这种情况,因为根本不可能把payload 放到会自动执行的地方。除非漏洞是privilege escalation之类,否则不可能突破OS 设置的权限控制。即便clash 甚至是其他软件出漏洞了,这个方法仍然确保万无一失。Edit: 回应监听小端口的问题,据我所知systemd config 可以单独允许监听小端口而没有高权限。甚至更进一步,应该用reverse proxy 的方式监听小端口再forward 给clash
安全绝对是天大的问题,受攻击造成的损失是无法估量的,心痛!
Wow
大把BTC被盗的
全程无废话,赞一个!
真的很感谢博主,我用的以前的版本,这些都不知道,真的很感谢,路转粉😘
很多人都覺得彈計算機沒甚麼 實際上就是很嚴重的 RCE 相當於你被控制
it小白路过,惊呆了,私以为以现在的防火墙水平,能直接通过钓鱼链接控制电脑几乎是不可能的事,结果现实狠狠的给了一耳光,涨见识了
确实讲得太棒了,能讲讲软路由就好了
支持up普及网络安全!
好恐怖,我在桌面留了一个文档,写上求黑客不要攻击我~他们一定会心软的!
哈哈哈
不知道移动硬盘的文档 挂在电脑 会不会危险
哈哈,兄弟他可能就喜欢攻击这样的
你好可爱😂
他们不一定会看你桌面的文件。
吓一跳,赶紧更新了,感谢博主
我想知道啥时候远程桌面软件的桌面能像黑客控制的时候这么流畅 😅
这个漏洞对macos 10.15以上的版本是没有影响的,macos 最近几个版本对软件写入权限做了严格限制,根本没有办法写入自启动脚本,不过建议m1版的电脑可以使用iOS版的代理工具.
赶紧打开电脑看了一眼版本13.4,应该不影响吧……
🎉
Mac上用的qx,除了没有状态栏,感觉比clash还好用点
mac 用 qx ,loon, 小火箭
但流量还是可以偷的吧
谢谢UP分享虽然我很少用clash,但是这个问题确实很严重。
你一般用什么😂
@@wangyiji313 一般不用
他刚刚显示我的手机和网络波动已经被监控了
@@ChaoyueAi哪里显示的😢
@@ChaoyueAi开了梯子就会显示的,问题不大
为了流量的小随想,支持不良
几个小时前,clash meta 也已经更新,重装后应该修复了吧。谢谢老师!
看log似乎没有明确写明修复了这个漏洞
还没有,你可以按视频演示添加授权避免这种危害
加油,你的初心是對的,不用在意別人
虽然看不懂,但是仍然先赞再评论再看,一条龙走下去
盲猜一下是随便配置了跨域,现在好多前后端分离的项目都有这个问题。不过对于国内,一般除非有权进入了内网,这个漏洞才能被利用。要是映射到公网上的,那就凉凉了
clash 是跑在 localhost 上的,但配置了跨域允许 https 网页可以访问 localhost 上的接口,所以只要攻击者有个 https 网页就能调接口,不需要内网
路由器没给clash开外网端口不用怕
前面演示的是CSRF攻击,跟开不开外网端口没关系
@@bulianglin 你说的对
现在大部分电脑有IPV6映射在公网吧!
另外win10下powershell脚本默认是没有执行权限的,除非特意开启权限,现代操作系统比你想象的安全的多
@zy cat 我说的是现代操作系统很安全,老旧的操作系统就没办法了,漏洞一堆,只要保证你使用的系统是最新的杀软其实是可有可无的
@zy cat 拉倒吧,程序员多了去了,只要是windows基本都会专门去开这个东西
@Raven Anten 如果你的银行卡被偷了,但是没有银行卡的密码小偷仍然是取不到钱的,clash的漏洞只是能写文件到你的电脑,并没有掌握你的电脑的密码(权限),他实际上什么也做不了
@@unexceptedworld 它可以搞爆硬盘
以前多次遇到这种跳转式的网站。小时候看过一些病毒介绍,知道不对劲,但无力排查
必须点赞
很完美,怪不得我说使用classh测速的时候根本无法使用呢 - - , 哈哈哈
我点了上面的演示连接,然后跳转到百度首页了😅,我没用clash,没啥问题吧?
干货满满👏
如何自己检查自己有没有暴露api,有没有已经被攻击,能不能关于这个出一期教程,提高安全防范水平。被入侵,如果自己浏览器上的小狐狸钱包里有不少钱,会不会被别人划走啊😢
先点赞再观看
可以出一期视频讲讲如何辨别专线节点嘛
Clash for windows 不是删库跑路了吗? clashX最后提交是2 年前的 1.95还是 1.96来着。
很棒的教程😘😘
黑客也可以靠更换代理配置来截获网络流量吧,这也很危险啊
谢谢你,让我想起以前XP年代开灰鸽子扫端口找肉鸡的日子
知道灰鸽子的人 不多把
@@Tyronfly radmin
灰鸽子并不能扫肉鸡
@@andyyin1789 挺好的程序被玩儿黑的人用烂了。
感謝🙏 麻煩大神順便也講講手機安全方面的.
@@levenwindy 是的,講了就被偉大墻囯給墻了
不要使用手机寻求安全😅
@@levenwindy 那这就挺麻烦了,现在基本都是买国产手机比较多,刷个原版安卓么....
你太搞笑了🤣👉🏻🤡
ios+外区id,别让数据留在云上贵州。然后系统设置里,隐私,后台运行,能关的全部关掉,还有icloud设置里软件单独的备份按钮关掉。
想问一下,v2rayn有类似的漏洞吗,切换到v2rayn安全不?🤔
没有,安全
大佬出一期简谱clash内核区别,tun,tap啥的.还有这么多玩open clash的,有啥 Fake-iP这种模式也没有看懂。也没有专门的wiki解释。
看我的代理篇,有详细解释
专业。涨知识了。谢谢
感谢分享,我赶紧更新了clash
老哥你好,作为您的粉丝一直在用您的测速软件和easy clash,一直以来都非常好用,看了这期视频想问一下这两个软件需要更换clash内核来规避这次风险吗,如果需要的话又该下载哪个内核文件更换呢
我台式机系统是manjaro linux,用了shellclash,也用的yacd面板,没有配置公网,危险性应该不大吧?
博主的clash‘可以分享一下吗😀
不良林大大,可以讲一讲ikev2节点搭建吗?
就算为了流量又怎么样,视频干净利落也不拖泥带水,另外也是真的可能发生的问题,提个醒注意一下不是也挺好的
up你好,请问现在clash删库之后,我们应当作何反应?是否应该尝试使用如v2ray的工具替代clash?
哥们真是VPN专精哥,放在日本得是个VPN仙人了。
我用的就是旧版本,有没有知道怎么查看自己有没有被攻击?
有没有办法讲一下如何设置路由器或者配置clash,上网飞?不知道为什么,我ps5上不了网飞,电脑登网飞网站也打不开,但是微软商店里下了个网飞app却可以登陆网飞,我用的梅林,同样的节点,同样的路由器为为什么会这样?
Kali用的好,牢饭吃到饱😅
天呐,clash重度患者,经常浏览各种导航会不会已经出现问题了😭
问一下,今天看视频的时候突然就跳转到百度首页了,什么都没点,平时也没用过百度,会不会有啥危险呀
clash已经衍生出多个版本 ,到底有啥区别,哪个好用呢
同问
感谢Up主,Mac Windows已更新到最新。但是Clash For Android 最新版本是22年11月的,这个最新的Android版本的Clash是没有这个问题呢,还是漏洞补丁还没更新?
没有这个问题
妈耶,不明白为什么根据不可信数据进行的操作竟然没有sanitize,而且还是默认开启、默认允许所有域名跨域、默认无密码
默认CORS和没有api key是最大的问题,竟然有人认为可以不设置api key的
以为内网安全所以无需设置key,早期CFW也默认无key,后面爆过XSS就比较重视加上了
docker环境 哪个镜像可以包含内核+WebUI? docker环境两者必须是分开搭建的吗?
先赞后看
目录穿越导致的任意文件写入导致的后门植入😂
请问“在公网暴露API接口”什么意思?我的路由器有公网ip,电脑clashx的External Controller的端口只要不在路由器做端口映射就没事吧?谢谢
太吓人了,感谢您的提醒!这就去修改配置
这个远程控制软件让我想起了当年的灰鸽子
一看就是老黑客了。灰鸽子怎么也是 20年前了吧。
不用clash就好了,配置文件还是得本地改,好多漏洞都是为了方便而产生的
可以问下 如何判断自己是否已经被注入或者中病毒那
想借地问一下 有时候点链接弹出一个新的chrome窗口又自己消失了是不是中了什么坏东西😨
相信我绝对是的,那个chrome其实是系统毁灭工具,闪一下windos立刻变身MAc ios
还是用v2rayn吧,感觉window端没有对手
作者大大,路由器梅林上的clash有影响吗
认为不良林有必要说明,无论是更改 9090 端口,还是设置 api 密码后,speedtest 网速测试都可能会发现网速变慢,60Mbps 到 2Mbps,降低了有30倍!!!。可能我的机场订阅配置文件需要用到 9090 端口吧,控制变量排查了好几天才发现是这个影响了机场网速。。
和是不是9090没有任何关系
@@bulianglin 使用meta v1.16内核,系统代理模式(没试tun模式,虚拟网卡会让游戏加速器失效)无论修改external端口或其密钥,可以跑一下网速测试
频道主,docker的clash会有印象嘛?
我觉得你按视频操作给api加个密钥后就没有影响了
@@bulianglin ok谢谢频道主!我这就去试试
手机会有影响吗 clash for andriod
影片质量不错,节点卖的是真的杀猪了 lol
感谢大佬。赶紧完成升级。之前觉得有点怪,近来clash时不时就无法启动内核,一直处于disconnected的状态,重启后又ok,不知什么原因,和这漏洞有关系吗?
所以我的clash-api只允许本地访问,也单独给了clash服务一个权限较低的用户,导致clash完全不能向电脑写数据。写了一个外部的脚本更新clash配置文件。。
在软路由里使用的,是不是修改配置文件里的端口,添加密码就好了
举个例子 假如已经被监控 按你说的配置随机端口加密码 就能解决吗?万一他录屏了 看到你设置密码不是还是不行?
卸载clash能解决漏洞病毒这个问题吗?
民间的程序让人利用,或者就不是民间的,干脆就是钓鱼,或者有目地的部门,有意漏洞,揭露了再补。要小心,一定要小心。这个视频警醒了爱好者。网上本来就有钓鱼视频目的你懂的。
沒講mac版怎麼設定,最新版已不支援我的macos系統,衹能用舊版,介面也和windows版不一樣。
我之前被木马感染,连了矿池,用的是V2N的10808端口。关闭局域网共享这矿池就连不上我,我也不懂技术,重做系统也没用,360小红伞也不行。重做后连10808还是在的。再后来请出卡巴斯基解决掉了。这个默认的端口都应该小心点改掉。
不良老哥,请教一下用Merlin Clash,会不会中招啊,因为不了解Merlin Clash的结构。。。所以请教一下
理论上是提供了一个被黑的可能性,不过linux一般被入侵也就是被用来挖矿或者勒索,就一般来说黑客看不上咱们的路由器
请教UP主一个问题, 同样的节点, 电脑使用没任何问题. 手机端连接WiFi没有问题, 但是移动网络就不行. 但是移动网络中,如果将节点服务器更改为VPS的IP地址, 就可以了. 不知道什么原因. 手机端是shadowrocket
可以支持执行指令, 这个作者是怎么想的. 那配置供应商岂不是可以搞事情. 赶紧fork一个修改了用.
meta我看前两天已经合了原版的代码,下个版本应该会修复
看着挺好玩❤
大佬 openclash是否安全呢,安全与否是不是和使用的机场有关呢?设置旁路由模式来科学上网是否有必要?
把clash内核更新一下
我用的是mac os版的clash x pro升级到最新版了,应该不会中招了吧楼主?
Clash真的比较麻烦,而且漏洞还多,V2rayN哪有这么多事
V2rayN 好像不能分流吧,我想在特定域名比如openai Google bing 奈飞等使用自建节点,其他用机场就没办法了
@@huizhou5169 自建的梯子,x-ui可以分流,RUclips就有现成的教程,机场的话,我不用。
@@jjw101 言之有理,所以我不用Clash
clash配置好了用着体验不错,我不用GUI,开tun模式,内核放bin文件夹,开机自动用root用户运行一下clash命令。
@@huizhou5169 开个前置代理就行,用privoxy
讲的太棒了
最近我的亚马逊云被盗了,这几天时不时就在回忆到底是哪里出了问题,看了这期视频,终于找到了答案,我用的就是linux的透明代理。。。。哎
前段时间cfw出漏洞后我就切换到了verge+meta内核,没想到又中招了(乐
不一定中招,有前提条件的
verge+meta默认配置就是中招,需要手动修改端口和密码
啊 我用的就是这个 手机 然后节点是网上 找到一个每日提供免费节点 我就直接粘贴用了 不知道会有什么问题😢
意味着什么呢?你买了一个100块钱一个月的奶昔机场,然后黑客给你干个程序电脑成pcdn了,才用两天流量没了
请问:clash 可以装到虚拟机上吗?比如:Hyper-V Manager
请问如果是用clash for Android,会受影响么?这个是用的很久的老内核
L君,能提供个现时为止最安全的小猫咪网盘下载吗
太赞了,感谢分享!🎉🎉🎉
clash的任何端口都不要转发到公网上
想请问一下,macOS,刚装了CFW,也替换了clash.meta。自建的VPS,reality,怎么导入到CFW?我看写的手动配置要导入一个脚本似的,不懂
感谢提醒😊
我目前用的是苹果 M2处理器 用的是小火箭 这个有啥弊端 我发现它也可以用
请问config.yaml文件中这么多配置视频教程有吗?在哪期?我这个配置文件中只有四行
为什么突然进clash就显示规则错误就不能使用了😢
请问trojan-qt5 v1.4.0受影响吗?听说trojan也客户端也用了clash内核?求解答
我的浏览器打开每次都是百度主页,无论怎么改都没用?是不是中毒啦。我用的是麦咖啡的杀毒软件
关于有的朋友认为这不算是漏洞,我想补充几个观点:
1、路径穿越本身并不被视为漏洞,因为很多程序允许 人为 的路径穿越。
2、内网环境没有设置Clash API密钥很常见,因为内网环境通常被认为是相对安全的,大多数人不会在内网环境中设置授权密码。
3、CORS本身也不是漏洞,而是浏览器实施的一种安全机制。
但是,由于内网环境未设置Clash API密钥,这使得任意网站可以通过浏览器的CORS机制调用Clash API接口。同时,路径穿越的存在使得调用API接口后,恶意代码可以被写入到电脑上的任意有权限的位置(非人为的路径穿越)。这样的攻击链就构成了漏洞。
尽管集齐这三个条件可能看起来很困难,但实际上,视频中展示的Clash Verge+Clash.Meta组合的默认配置就满足了这三个条件。对于不熟悉安全性的普通用户来说,默认情况下就存在这个漏洞。因此,视频中主要演示如何通过为Clash API添加密钥来打断这个攻击链,以确保安全性。
如果大家有其他观点,欢迎在评论区留言交流。
对clash完全不了解,调用clash的api,密钥是如何发送的呢?
如果是通过basic认证发送,那么只要用户之前在浏览器上访问过web界面,浏览器缓存了密钥,那么还是可以利用cors进行攻击的吧?
我使用v2rayN,能讲讲v2rayN的漏洞吗
1
小tips,fofa扫出来的应该大部分是部署在路由上的openclash,它本身对路径穿越是有防护的,以及对权限限制比较完善,所以还是比较安全的
我还担心路由运营openclash会不会中招,放心了
Security through obscurity ,利用隐蔽性达到安全性永远不是一个好的方法。该解决的除了是path traversal的漏洞以外,最主要的是应该解决未授权的用户能随意控制API接口的问题。不设置API key就可以拥有RWX控制是一个很大的漏洞。当然,理论上不应该允许负责clash 的用户拥有写入任何目录的权限。顶多是给写入config目录的权限,而且不应该有execution的权限。
从RWX角度解决问题就搞复杂了,升了一个scope,况且Clash更新配置文件需要RW,漏洞链攻击的第三方组件如Powershell也不理会文件的X属性,Clash全interface监听小端口权限不会小。漏洞链是SSRF+broken access control+directory traversal,破坏任意一环都能有效缓解利用,这也是从软件漏洞本身去修复,RWX的思路更适合HIDS/EDR这类兜底产品来负责。类Electron客户端漏洞层出不穷跟它用network socket作内部RPC调用有很大关系,SSRF成本太低。
@@soneomeelse 当然最优先解决的应该是dir traversal 的问题。我不用windows伺服器,所以用的是linux的角度看RWX权限控制。理论上如果负责clash的用户无法写入除自身config和log目录,也可避免这种情况,因为根本不可能把payload 放到会自动执行的地方。除非漏洞是privilege escalation之类,否则不可能突破OS 设置的权限控制。即便clash 甚至是其他软件出漏洞了,这个方法仍然确保万无一失。
Edit: 回应监听小端口的问题,据我所知systemd config 可以单独允许监听小端口而没有高权限。甚至更进一步,应该用reverse proxy 的方式监听小端口再forward 给clash
安全绝对是天大的问题,受攻击造成的损失是无法估量的,心痛!
Wow
大把BTC被盗的
全程无废话,赞一个!
真的很感谢博主,我用的以前的版本,这些都不知道,真的很感谢,路转粉😘
很多人都覺得彈計算機沒甚麼 實際上就是很嚴重的 RCE 相當於你被控制
it小白路过,惊呆了,私以为以现在的防火墙水平,能直接通过钓鱼链接控制电脑几乎是不可能的事,结果现实狠狠的给了一耳光,涨见识了
确实讲得太棒了,能讲讲软路由就好了
支持up普及网络安全!
好恐怖,我在桌面留了一个文档,写上求黑客不要攻击我~他们一定会心软的!
哈哈哈
不知道移动硬盘的文档 挂在电脑 会不会危险
哈哈,兄弟他可能就喜欢攻击这样的
你好可爱😂
他们不一定会看你桌面的文件。
吓一跳,赶紧更新了,感谢博主
我想知道啥时候远程桌面软件的桌面能像黑客控制的时候这么流畅 😅
这个漏洞对macos 10.15以上的版本是没有影响的,macos 最近几个版本对软件写入权限做了严格限制,根本没有办法写入自启动脚本,不过建议m1版的电脑可以使用iOS版的代理工具.
赶紧打开电脑看了一眼版本13.4,应该不影响吧……
🎉
Mac上用的qx,除了没有状态栏,感觉比clash还好用点
mac 用 qx ,loon, 小火箭
但流量还是可以偷的吧
谢谢UP分享虽然我很少用clash,但是这个问题确实很严重。
你一般用什么😂
@@wangyiji313 一般不用
他刚刚显示我的手机和网络波动已经被监控了
@@ChaoyueAi哪里显示的😢
@@ChaoyueAi开了梯子就会显示的,问题不大
为了流量的小随想,支持不良
几个小时前,clash meta 也已经更新,重装后应该修复了吧。谢谢老师!
看log似乎没有明确写明修复了这个漏洞
还没有,你可以按视频演示添加授权避免这种危害
加油,你的初心是對的,不用在意別人
虽然看不懂,但是仍然先赞再评论再看,一条龙走下去
盲猜一下是随便配置了跨域,现在好多前后端分离的项目都有这个问题。不过对于国内,一般除非有权进入了内网,这个漏洞才能被利用。要是映射到公网上的,那就凉凉了
clash 是跑在 localhost 上的,但配置了跨域允许 https 网页可以访问 localhost 上的接口,所以只要攻击者有个 https 网页就能调接口,不需要内网
路由器没给clash开外网端口不用怕
前面演示的是CSRF攻击,跟开不开外网端口没关系
@@bulianglin 你说的对
现在大部分电脑有IPV6映射在公网吧!
另外win10下powershell脚本默认是没有执行权限的,除非特意开启权限,现代操作系统比你想象的安全的多
@zy cat 我说的是现代操作系统很安全,老旧的操作系统就没办法了,漏洞一堆,只要保证你使用的系统是最新的杀软其实是可有可无的
@zy cat 拉倒吧,程序员多了去了,只要是windows基本都会专门去开这个东西
@Raven Anten 如果你的银行卡被偷了,但是没有银行卡的密码小偷仍然是取不到钱的,clash的漏洞只是能写文件到你的电脑,并没有掌握你的电脑的密码(权限),他实际上什么也做不了
@@unexceptedworld 它可以搞爆硬盘
以前多次遇到这种跳转式的网站。小时候看过一些病毒介绍,知道不对劲,但无力排查
必须点赞
很完美,怪不得我说使用classh测速的时候根本无法使用呢 - - , 哈哈哈
我点了上面的演示连接,然后跳转到百度首页了😅,我没用clash,没啥问题吧?
干货满满👏
如何自己检查自己有没有暴露api,有没有已经被攻击,能不能关于这个出一期教程,提高安全防范水平。
被入侵,如果自己浏览器上的小狐狸钱包里有不少钱,会不会被别人划走啊😢
先点赞再观看
可以出一期视频讲讲如何辨别专线节点嘛
Clash for windows 不是删库跑路了吗? clashX最后提交是2 年前的 1.95还是 1.96来着。
很棒的教程😘😘
黑客也可以靠更换代理配置来截获网络流量吧,这也很危险啊
谢谢你,让我想起以前XP年代开灰鸽子扫端口找肉鸡的日子
知道灰鸽子的人 不多把
@@Tyronfly radmin
灰鸽子并不能扫肉鸡
@@andyyin1789 挺好的程序被玩儿黑的人用烂了。
感謝🙏 麻煩大神順便也講講手機安全方面的.
@@levenwindy 是的,講了就被偉大墻囯給墻了
不要使用手机寻求安全😅
@@levenwindy 那这就挺麻烦了,现在基本都是买国产手机比较多,刷个原版安卓么....
你太搞笑了🤣👉🏻🤡
ios+外区id,别让数据留在云上贵州。然后系统设置里,隐私,后台运行,能关的全部关掉,还有icloud设置里软件单独的备份按钮关掉。
想问一下,v2rayn有类似的漏洞吗,切换到v2rayn安全不?🤔
没有,安全
大佬出一期简谱clash内核区别,tun,tap啥的.还有这么多玩open clash的,有啥 Fake-iP这种模式也没有看懂。也没有专门的wiki解释。
看我的代理篇,有详细解释
专业。涨知识了。谢谢
感谢分享,我赶紧更新了clash
老哥你好,作为您的粉丝一直在用您的测速软件和easy clash,一直以来都非常好用,看了这期视频想问一下这两个软件需要更换clash内核来规避这次风险吗,如果需要的话又该下载哪个内核文件更换呢
我台式机系统是manjaro linux,用了shellclash,也用的yacd面板,没有配置公网,危险性应该不大吧?
博主的clash‘可以分享一下吗😀
不良林大大,可以讲一讲ikev2节点搭建吗?
就算为了流量又怎么样,视频干净利落也不拖泥带水,另外也是真的可能发生的问题,提个醒注意一下不是也挺好的
up你好,请问现在clash删库之后,我们应当作何反应?是否应该尝试使用如v2ray的工具替代clash?
哥们真是VPN专精哥,放在日本得是个VPN仙人了。
我用的就是旧版本,有没有知道怎么查看自己有没有被攻击?
有没有办法讲一下如何设置路由器或者配置clash,上网飞?不知道为什么,我ps5上不了网飞,电脑登网飞网站也打不开,但是微软商店里下了个网飞app却可以登陆网飞,我用的梅林,同样的节点,同样的路由器为为什么会这样?
Kali用的好,牢饭吃到饱😅
天呐,clash重度患者,经常浏览各种导航会不会已经出现问题了😭
问一下,今天看视频的时候突然就跳转到百度首页了,什么都没点,平时也没用过百度,会不会有啥危险呀
clash已经衍生出多个版本 ,到底有啥区别,哪个好用呢
同问
感谢Up主,Mac Windows已更新到最新。但是Clash For Android 最新版本是22年11月的,这个最新的Android版本的Clash是没有这个问题呢,还是漏洞补丁还没更新?
没有这个问题
妈耶,不明白为什么根据不可信数据进行的操作竟然没有sanitize,而且还是默认开启、默认允许所有域名跨域、默认无密码
默认CORS和没有api key是最大的问题,竟然有人认为可以不设置api key的
以为内网安全所以无需设置key,早期CFW也默认无key,后面爆过XSS就比较重视加上了
docker环境 哪个镜像可以包含内核+WebUI? docker环境两者必须是分开搭建的吗?
先赞后看
目录穿越导致的任意文件写入导致的后门植入😂
请问“在公网暴露API接口”什么意思?我的路由器有公网ip,电脑clashx的External Controller的端口只要不在路由器做端口映射就没事吧?谢谢
太吓人了,感谢您的提醒!这就去修改配置
这个远程控制软件让我想起了当年的灰鸽子
一看就是老黑客了。灰鸽子怎么也是 20年前了吧。
不用clash就好了,配置文件还是得本地改,好多漏洞都是为了方便而产生的
可以问下 如何判断自己是否已经被注入或者中病毒那
想借地问一下 有时候点链接弹出一个新的chrome窗口又自己消失了是不是中了什么坏东西😨
相信我绝对是的,那个chrome其实是系统毁灭工具,闪一下windos立刻变身MAc ios
还是用v2rayn吧,感觉window端没有对手
作者大大,路由器梅林上的clash有影响吗
认为不良林有必要说明,无论是更改 9090 端口,还是设置 api 密码后,speedtest 网速测试都可能会发现网速变慢,60Mbps 到 2Mbps,降低了有30倍!!!。
可能我的机场订阅配置文件需要用到 9090 端口吧,控制变量排查了好几天才发现是这个影响了机场网速。。
和是不是9090没有任何关系
@@bulianglin 使用meta v1.16内核,系统代理模式(没试tun模式,虚拟网卡会让游戏加速器失效)无论修改external端口或其密钥,可以跑一下网速测试
频道主,docker的clash会有印象嘛?
我觉得你按视频操作给api加个密钥后就没有影响了
@@bulianglin ok谢谢频道主!我这就去试试
手机会有影响吗 clash for andriod
影片质量不错,节点卖的是真的杀猪了 lol
感谢大佬。赶紧完成升级。之前觉得有点怪,近来clash时不时就无法启动内核,一直处于disconnected的状态,重启后又ok,不知什么原因,和这漏洞有关系吗?
所以我的clash-api只允许本地访问,也单独给了clash服务一个权限较低的用户,导致clash完全不能向电脑写数据。写了一个外部的脚本更新clash配置文件。。
在软路由里使用的,是不是修改配置文件里的端口,添加密码就好了
举个例子 假如已经被监控 按你说的配置随机端口加密码 就能解决吗?万一他录屏了 看到你设置密码不是还是不行?
卸载clash能解决漏洞病毒这个问题吗?
民间的程序让人利用,或者就不是民间的,干脆就是钓鱼,或者有目地的部门,有意漏洞,揭露了再补。要小心,一定要小心。这个视频警醒了爱好者。网上本来就有钓鱼视频目的你懂的。
沒講mac版怎麼設定,最新版已不支援我的macos系統,衹能用舊版,介面也和windows版不一樣。
我之前被木马感染,连了矿池,用的是V2N的10808端口。关闭局域网共享这矿池就连不上我,我也不懂技术,重做系统也没用,360小红伞也不行。重做后连10808还是在的。再后来请出卡巴斯基解决掉了。这个默认的端口都应该小心点改掉。
不良老哥,请教一下用Merlin Clash,会不会中招啊,因为不了解Merlin Clash的结构。。。所以请教一下
理论上是提供了一个被黑的可能性,不过linux一般被入侵也就是被用来挖矿或者勒索,就一般来说黑客看不上咱们的路由器
请教UP主一个问题, 同样的节点, 电脑使用没任何问题. 手机端连接WiFi没有问题, 但是移动网络就不行. 但是移动网络中,如果将节点服务器更改为VPS的IP地址, 就可以了. 不知道什么原因. 手机端是shadowrocket
可以支持执行指令, 这个作者是怎么想的. 那配置供应商岂不是可以搞事情. 赶紧fork一个修改了用.
meta我看前两天已经合了原版的代码,下个版本应该会修复
看着挺好玩❤
大佬 openclash是否安全呢,安全与否是不是和使用的机场有关呢?设置旁路由模式来科学上网是否有必要?
把clash内核更新一下
我用的是mac os版的clash x pro升级到最新版了,应该不会中招了吧楼主?
Clash真的比较麻烦,而且漏洞还多,V2rayN哪有这么多事
V2rayN 好像不能分流吧,我想在特定域名比如openai Google bing 奈飞等使用自建节点,其他用机场就没办法了
@@huizhou5169 自建的梯子,x-ui可以分流,RUclips就有现成的教程,机场的话,我不用。
@@jjw101 言之有理,所以我不用Clash
clash配置好了用着体验不错,我不用GUI,开tun模式,内核放bin文件夹,开机自动用root用户运行一下clash命令。
@@huizhou5169 开个前置代理就行,用privoxy
讲的太棒了
最近我的亚马逊云被盗了,这几天时不时就在回忆到底是哪里出了问题,看了这期视频,终于找到了答案,我用的就是linux的透明代理。。。。哎
前段时间cfw出漏洞后我就切换到了verge+meta内核,没想到又中招了(乐
不一定中招,有前提条件的
verge+meta默认配置就是中招,需要手动修改端口和密码
啊 我用的就是这个 手机 然后节点是网上 找到一个每日提供免费节点 我就直接粘贴用了 不知道会有什么问题😢
意味着什么呢?你买了一个100块钱一个月的奶昔机场,然后黑客给你干个程序电脑成pcdn了,才用两天流量没了
请问:clash 可以装到虚拟机上吗?比如:Hyper-V Manager
请问如果是用clash for Android,会受影响么?这个是用的很久的老内核
L君,能提供个现时为止最安全的小猫咪网盘下载吗
太赞了,感谢分享!🎉🎉🎉
clash的任何端口都不要转发到公网上
想请问一下,macOS,刚装了CFW,也替换了clash.meta。自建的VPS,reality,怎么导入到CFW?我看写的手动配置要导入一个脚本似的,不懂
感谢提醒😊
我目前用的是苹果 M2处理器 用的是小火箭 这个有啥弊端 我发现它也可以用
请问config.yaml文件中这么多配置视频教程有吗?在哪期?我这个配置文件中只有四行
为什么突然进clash就显示规则错误就不能使用了😢
请问trojan-qt5 v1.4.0受影响吗?听说trojan也客户端也用了clash内核?求解答
我的浏览器打开每次都是百度主页,无论怎么改都没用?是不是中毒啦。我用的是麦咖啡的杀毒软件