Размер видео: 1280 X 720853 X 480640 X 360
Показать панель управления
Автовоспроизведение
Автоповтор
关于有的朋友认为这不算是漏洞,我想补充几个观点:1、路径穿越本身并不被视为漏洞,因为很多程序允许 人为 的路径穿越。2、内网环境没有设置Clash API密钥很常见,因为内网环境通常被认为是相对安全的,大多数人不会在内网环境中设置授权密码。3、CORS本身也不是漏洞,而是浏览器实施的一种安全机制。但是,由于内网环境未设置Clash API密钥,这使得任意网站可以通过浏览器的CORS机制调用Clash API接口。同时,路径穿越的存在使得调用API接口后,恶意代码可以被写入到电脑上的任意有权限的位置(非人为的路径穿越)。这样的攻击链就构成了漏洞。尽管集齐这三个条件可能看起来很困难,但实际上,视频中展示的Clash Verge+Clash.Meta组合的默认配置就满足了这三个条件。对于不熟悉安全性的普通用户来说,默认情况下就存在这个漏洞。因此,视频中主要演示如何通过为Clash API添加密钥来打断这个攻击链,以确保安全性。如果大家有其他观点,欢迎在评论区留言交流。
对clash完全不了解,调用clash的api,密钥是如何发送的呢?如果是通过basic认证发送,那么只要用户之前在浏览器上访问过web界面,浏览器缓存了密钥,那么还是可以利用cors进行攻击的吧?
我使用v2rayN,能讲讲v2rayN的漏洞吗
1
我被不良林的私人电报骗了350.就刚刚10分钟之前.为了让他教我如何被墙的问题,他用微信二维码收款之后就删掉了电报聊天记录。艹了。我说谎出门被车撞
必须点赞
讲的太棒了
为了流量的小随想,支持不良
专业。涨知识了。谢谢
加油,你的初心是對的,不用在意別人
请问“在公网暴露API接口”什么意思?我的路由器有公网ip,电脑clashx的External Controller的端口只要不在路由器做端口映射就没事吧?谢谢
感谢您的分享
谢谢博主分享!
Kali用的好,牢饭吃到饱😅
我去 我现在就在用clash😅
刺激哦
小伙子很快啊
如何自己检查自己有没有暴露api,有没有已经被攻击,能不能关于这个出一期教程,提高安全防范水平。被入侵,如果自己浏览器上的小狐狸钱包里有不少钱,会不会被别人划走啊😢
大佬出一期简谱clash内核区别,tun,tap啥的.还有这么多玩open clash的,有啥 Fake-iP这种模式也没有看懂。也没有专门的wiki解释。
看我的代理篇,有详细解释
感謝🙏 麻煩大神順便也講講手機安全方面的.
@@levenwindy 是的,講了就被偉大墻囯給墻了
不要使用手机寻求安全😅
@@levenwindy 那这就挺麻烦了,现在基本都是买国产手机比较多,刷个原版安卓么....
你太搞笑了🤣👉🏻🤡
ios+外区id,别让数据留在云上贵州。然后系统设置里,隐私,后台运行,能关的全部关掉,还有icloud设置里软件单独的备份按钮关掉。
标题吓我一跳,但是仔细想想,显卡垃圾,电脑里全是AV,中了我就重装系统
支持!
可以支持执行指令, 这个作者是怎么想的. 那配置供应商岂不是可以搞事情. 赶紧fork一个修改了用.
meta我看前两天已经合了原版的代码,下个版本应该会修复
感谢
所以我的clash-api只允许本地访问,也单独给了clash服务一个权限较低的用户,导致clash完全不能向电脑写数据。写了一个外部的脚本更新clash配置文件。。
头好痒,感觉要长出脑子了🥲,知识经过大脑,一概而过🥲,听不懂😭😭
认为不良林有必要说明,无论是更改 9090 端口,还是设置 api 密码后,speedtest 网速测试都可能会发现网速变慢,60Mbps 到 2Mbps,降低了有30倍!!!。可能我的机场订阅配置文件需要用到 9090 端口吧,控制变量排查了好几天才发现是这个影响了机场网速。。
和是不是9090没有任何关系
@@bulianglin 使用meta v1.16内核,系统代理模式(没试tun模式,虚拟网卡会让游戏加速器失效)无论修改external端口或其密钥,可以跑一下网速测试
还是用v2rayn吧,感觉window端没有对手
好恐怖,我在桌面留了一个文档,写上求黑客不要攻击我~他们一定会心软的!
哈哈哈
不知道移动硬盘的文档 挂在电脑 会不会危险
哈哈,兄弟他可能就喜欢攻击这样的
你好可爱😂
他们不一定会看你桌面的文件。
安全绝对是天大的问题,受攻击造成的损失是无法估量的,心痛!
Wow
大把BTC被盗的
我想知道啥时候远程桌面软件的桌面能像黑客控制的时候这么流畅 😅
我点了上面的演示连接,然后跳转到百度首页了😅,我没用clash,没啥问题吧?
小tips,fofa扫出来的应该大部分是部署在路由上的openclash,它本身对路径穿越是有防护的,以及对权限限制比较完善,所以还是比较安全的
我还担心路由运营openclash会不会中招,放心了
几个小时前,clash meta 也已经更新,重装后应该修复了吧。谢谢老师!
看log似乎没有明确写明修复了这个漏洞
还没有,你可以按视频演示添加授权避免这种危害
很多人都覺得彈計算機沒甚麼 實際上就是很嚴重的 RCE 相當於你被控制
想问一下,v2rayn有类似的漏洞吗,切换到v2rayn安全不?🤔
没有,安全
Security through obscurity ,利用隐蔽性达到安全性永远不是一个好的方法。该解决的除了是path traversal的漏洞以外,最主要的是应该解决未授权的用户能随意控制API接口的问题。不设置API key就可以拥有RWX控制是一个很大的漏洞。当然,理论上不应该允许负责clash 的用户拥有写入任何目录的权限。顶多是给写入config目录的权限,而且不应该有execution的权限。
从RWX角度解决问题就搞复杂了,升了一个scope,况且Clash更新配置文件需要RW,漏洞链攻击的第三方组件如Powershell也不理会文件的X属性,Clash全interface监听小端口权限不会小。漏洞链是SSRF+broken access control+directory traversal,破坏任意一环都能有效缓解利用,这也是从软件漏洞本身去修复,RWX的思路更适合HIDS/EDR这类兜底产品来负责。类Electron客户端漏洞层出不穷跟它用network socket作内部RPC调用有很大关系,SSRF成本太低。
@@soneomeelse 当然最优先解决的应该是dir traversal 的问题。我不用windows伺服器,所以用的是linux的角度看RWX权限控制。理论上如果负责clash的用户无法写入除自身config和log目录,也可避免这种情况,因为根本不可能把payload 放到会自动执行的地方。除非漏洞是privilege escalation之类,否则不可能突破OS 设置的权限控制。即便clash 甚至是其他软件出漏洞了,这个方法仍然确保万无一失。Edit: 回应监听小端口的问题,据我所知systemd config 可以单独允许监听小端口而没有高权限。甚至更进一步,应该用reverse proxy 的方式监听小端口再forward 给clash
我台式机系统是manjaro linux,用了shellclash,也用的yacd面板,没有配置公网,危险性应该不大吧?
问一下,今天看视频的时候突然就跳转到百度首页了,什么都没点,平时也没用过百度,会不会有啥危险呀
这个漏洞对macos 10.15以上的版本是没有影响的,macos 最近几个版本对软件写入权限做了严格限制,根本没有办法写入自启动脚本,不过建议m1版的电脑可以使用iOS版的代理工具.
赶紧打开电脑看了一眼版本13.4,应该不影响吧……
🎉
Mac上用的qx,除了没有状态栏,感觉比clash还好用点
mac 用 qx ,loon, 小火箭
但流量还是可以偷的吧
全程无废话,赞一个!
我用的就是旧版本,有没有知道怎么查看自己有没有被攻击?
中国翻墙者太难了,真的只存在于国家机器想不想找你,而不存在你被不被抓。真想要相对安全,还是得肉身翻墙。
难的不是国家怎么样,而是一帮坏蛋专盯着这些翻墙没保障的黑
想借地问一下 有时候点链接弹出一个新的chrome窗口又自己消失了是不是中了什么坏东西😨
相信我绝对是的,那个chrome其实是系统毁灭工具,闪一下windos立刻变身MAc ios
真的很感谢博主,我用的以前的版本,这些都不知道,真的很感谢,路转粉😘
博主的clash‘可以分享一下吗😀
民间的程序让人利用,或者就不是民间的,干脆就是钓鱼,或者有目地的部门,有意漏洞,揭露了再补。要小心,一定要小心。这个视频警醒了爱好者。网上本来就有钓鱼视频目的你懂的。
Clash for windows 不是删库跑路了吗? clashX最后提交是2 年前的 1.95还是 1.96来着。
Mac用clash没事吧
妈耶,不明白为什么根据不可信数据进行的操作竟然没有sanitize,而且还是默认开启、默认允许所有域名跨域、默认无密码
默认CORS和没有api key是最大的问题,竟然有人认为可以不设置api key的
以为内网安全所以无需设置key,早期CFW也默认无key,后面爆过XSS就比较重视加上了
我想用python切换节点就是不成功,节点名是fxxxxd 日本 - 002响应{"message":"Body invalid"}
还好上次爆漏洞就没用clash了
我用的passwall,这个也好用。
天呐,clash重度患者,经常浏览各种导航会不会已经出现问题了😭
意味着什么呢?你买了一个100块钱一个月的奶昔机场,然后黑客给你干个程序电脑成pcdn了,才用两天流量没了
cfw作者听说被抓😂
沒講mac版怎麼設定,最新版已不支援我的macos系統,衹能用舊版,介面也和windows版不一樣。
以前多次遇到这种跳转式的网站。小时候看过一些病毒介绍,知道不对劲,但无力排查
幸好关注了不良林,不然要走光光
手机会有影响吗 clash for andriod
上次出漏洞就换v2rayn了😢
clash官方的github地址是多少啊,我下的地方最新是0.20.27,不是同一个么🤣
rootless docker + no cache 模式部署网关 = 一劳永逸...
clash都出多少事了。。还好从来没用过
听不良林,警钟长鸣 。
啊 我用的就是这个 手机 然后节点是网上 找到一个每日提供免费节点 我就直接粘贴用了 不知道会有什么问题😢
大佬 我喊别人帮我激活了Google TV,我拿回来可以用吗?我没有软路由
eset对这个有防护效果吗
我的浏览器打开每次都是百度主页,无论怎么改都没用?是不是中毒啦。我用的是麦咖啡的杀毒软件
您好 请问clashmeta 现在更新修复这个漏洞了吗
可以问下 如何判断自己是否已经被注入或者中病毒那
问下大神们clash for android 有更新方式嘛 视频里好像没说
请问怎么通过fofa查询一个IP的服务器网址?
就算为了流量又怎么样,视频干净利落也不拖泥带水,另外也是真的可能发生的问题,提个醒注意一下不是也挺好的
目录穿越导致的任意文件写入导致的后门植入😂
Clash 真烂,报漏洞的总是它
老实说,根本不在乎,爱咋滴咋滴
没事,我用V2Ray😂
哥们真是VPN专精哥,放在日本得是个VPN仙人了。
我用的是clash for windows,全是英文,找不到中文設置怎麽辦?
所以我在用V 0.20.16所以我没事。。哈哈哈。。。最新的我不用。。。哎找不到我。
吓得我赶紧打开火绒杀一遍
这些我都不懂 你的easyclash还能用吗 我一直在用
无法连接到 Clash core 核心,日志不可用是怎么回事
晕死,这个软件怎么这么多高危漏洞啊?
我用的是mac os版的clash x pro升级到最新版了,应该不会中招了吧楼主?
感谢Up主,Mac Windows已更新到最新。但是Clash For Android 最新版本是22年11月的,这个最新的Android版本的Clash是没有这个问题呢,还是漏洞补丁还没更新?
没有这个问题
卸载了还能攻击吗
这个clash怎么和普通版的不一样啊,怎么安装大佬
clash verge
@@若璃-g7u 下载完不会用🤣
想请问一下,macOS,刚装了CFW,也替换了clash.meta。自建的VPS,reality,怎么导入到CFW?我看写的手动配置要导入一个脚本似的,不懂
我現在在大陸的安卓上用clash配置的vpn給你們發送評論,一般在臺灣不用
盲猜一下是随便配置了跨域,现在好多前后端分离的项目都有这个问题。不过对于国内,一般除非有权进入了内网,这个漏洞才能被利用。要是映射到公网上的,那就凉凉了
clash 是跑在 localhost 上的,但配置了跨域允许 https 网页可以访问 localhost 上的接口,所以只要攻击者有个 https 网页就能调接口,不需要内网
路由器没给clash开外网端口不用怕
前面演示的是CSRF攻击,跟开不开外网端口没关系
@@bulianglin 你说的对
现在大部分电脑有IPV6映射在公网吧!
算了,还是不用使用Clash了,我用GreenHub
已经开启了授权密码,怎样才能取消授权呢?现在那里只有“更新”一项可“选择”执行,难道已经回不去了吗?
密码留空就不用授权了
请教下UP,我用你推荐的静态IP+快联+指纹浏览器,为什么google账号还是会被风控,提示存在关联交叉!
厉害,所以有人分享免费机场给你你也要小心,可能这个人想入侵你的电脑
请问如果是用clash for Android,会受影响么?这个是用的很久的老内核
感觉这个比去年那个xss引起的漏洞危害高的多,直接就是远程的,快去搞个CVE
这个太吓人了 随便一搜 几千个暴露的ip信息
最近我的亚马逊云被盗了,这几天时不时就在回忆到底是哪里出了问题,看了这期视频,终于找到了答案,我用的就是linux的透明代理。。。。哎
支持up普及网络安全!
大神,我是在红米路由器上安装的shellclash,这种应该怎么修补漏洞啊
虽然看不懂,但是仍然先赞再评论再看,一条龙走下去
过去2年用过,会有莫名的网络连接到江苏连云港。 不知道你们的会不会!
请问trojan-qt5 v1.4.0受影响吗?听说trojan也客户端也用了clash内核?求解答
L君,能提供个现时为止最安全的小猫咪网盘下载吗
关于有的朋友认为这不算是漏洞,我想补充几个观点:
1、路径穿越本身并不被视为漏洞,因为很多程序允许 人为 的路径穿越。
2、内网环境没有设置Clash API密钥很常见,因为内网环境通常被认为是相对安全的,大多数人不会在内网环境中设置授权密码。
3、CORS本身也不是漏洞,而是浏览器实施的一种安全机制。
但是,由于内网环境未设置Clash API密钥,这使得任意网站可以通过浏览器的CORS机制调用Clash API接口。同时,路径穿越的存在使得调用API接口后,恶意代码可以被写入到电脑上的任意有权限的位置(非人为的路径穿越)。这样的攻击链就构成了漏洞。
尽管集齐这三个条件可能看起来很困难,但实际上,视频中展示的Clash Verge+Clash.Meta组合的默认配置就满足了这三个条件。对于不熟悉安全性的普通用户来说,默认情况下就存在这个漏洞。因此,视频中主要演示如何通过为Clash API添加密钥来打断这个攻击链,以确保安全性。
如果大家有其他观点,欢迎在评论区留言交流。
对clash完全不了解,调用clash的api,密钥是如何发送的呢?
如果是通过basic认证发送,那么只要用户之前在浏览器上访问过web界面,浏览器缓存了密钥,那么还是可以利用cors进行攻击的吧?
我使用v2rayN,能讲讲v2rayN的漏洞吗
1
我被不良林的私人电报骗了350.就刚刚10分钟之前.为了让他教我如何被墙的问题,他用微信二维码收款之后就删掉了电报聊天记录。艹了。我说谎出门被车撞
必须点赞
讲的太棒了
为了流量的小随想,支持不良
专业。涨知识了。谢谢
加油,你的初心是對的,不用在意別人
请问“在公网暴露API接口”什么意思?我的路由器有公网ip,电脑clashx的External Controller的端口只要不在路由器做端口映射就没事吧?谢谢
感谢您的分享
谢谢博主分享!
Kali用的好,牢饭吃到饱😅
我去 我现在就在用clash😅
刺激哦
小伙子很快啊
如何自己检查自己有没有暴露api,有没有已经被攻击,能不能关于这个出一期教程,提高安全防范水平。
被入侵,如果自己浏览器上的小狐狸钱包里有不少钱,会不会被别人划走啊😢
大佬出一期简谱clash内核区别,tun,tap啥的.还有这么多玩open clash的,有啥 Fake-iP这种模式也没有看懂。也没有专门的wiki解释。
看我的代理篇,有详细解释
感謝🙏 麻煩大神順便也講講手機安全方面的.
@@levenwindy 是的,講了就被偉大墻囯給墻了
不要使用手机寻求安全😅
@@levenwindy 那这就挺麻烦了,现在基本都是买国产手机比较多,刷个原版安卓么....
你太搞笑了🤣👉🏻🤡
ios+外区id,别让数据留在云上贵州。然后系统设置里,隐私,后台运行,能关的全部关掉,还有icloud设置里软件单独的备份按钮关掉。
标题吓我一跳,但是仔细想想,显卡垃圾,电脑里全是AV,中了我就重装系统
支持!
可以支持执行指令, 这个作者是怎么想的. 那配置供应商岂不是可以搞事情. 赶紧fork一个修改了用.
meta我看前两天已经合了原版的代码,下个版本应该会修复
感谢
所以我的clash-api只允许本地访问,也单独给了clash服务一个权限较低的用户,导致clash完全不能向电脑写数据。写了一个外部的脚本更新clash配置文件。。
头好痒,感觉要长出脑子了🥲,知识经过大脑,一概而过🥲,听不懂😭😭
认为不良林有必要说明,无论是更改 9090 端口,还是设置 api 密码后,speedtest 网速测试都可能会发现网速变慢,60Mbps 到 2Mbps,降低了有30倍!!!。
可能我的机场订阅配置文件需要用到 9090 端口吧,控制变量排查了好几天才发现是这个影响了机场网速。。
和是不是9090没有任何关系
@@bulianglin 使用meta v1.16内核,系统代理模式(没试tun模式,虚拟网卡会让游戏加速器失效)无论修改external端口或其密钥,可以跑一下网速测试
还是用v2rayn吧,感觉window端没有对手
好恐怖,我在桌面留了一个文档,写上求黑客不要攻击我~他们一定会心软的!
哈哈哈
不知道移动硬盘的文档 挂在电脑 会不会危险
哈哈,兄弟他可能就喜欢攻击这样的
你好可爱😂
他们不一定会看你桌面的文件。
安全绝对是天大的问题,受攻击造成的损失是无法估量的,心痛!
Wow
大把BTC被盗的
我想知道啥时候远程桌面软件的桌面能像黑客控制的时候这么流畅 😅
我点了上面的演示连接,然后跳转到百度首页了😅,我没用clash,没啥问题吧?
小tips,fofa扫出来的应该大部分是部署在路由上的openclash,它本身对路径穿越是有防护的,以及对权限限制比较完善,所以还是比较安全的
我还担心路由运营openclash会不会中招,放心了
几个小时前,clash meta 也已经更新,重装后应该修复了吧。谢谢老师!
看log似乎没有明确写明修复了这个漏洞
还没有,你可以按视频演示添加授权避免这种危害
很多人都覺得彈計算機沒甚麼 實際上就是很嚴重的 RCE 相當於你被控制
想问一下,v2rayn有类似的漏洞吗,切换到v2rayn安全不?🤔
没有,安全
Security through obscurity ,利用隐蔽性达到安全性永远不是一个好的方法。该解决的除了是path traversal的漏洞以外,最主要的是应该解决未授权的用户能随意控制API接口的问题。不设置API key就可以拥有RWX控制是一个很大的漏洞。当然,理论上不应该允许负责clash 的用户拥有写入任何目录的权限。顶多是给写入config目录的权限,而且不应该有execution的权限。
从RWX角度解决问题就搞复杂了,升了一个scope,况且Clash更新配置文件需要RW,漏洞链攻击的第三方组件如Powershell也不理会文件的X属性,Clash全interface监听小端口权限不会小。漏洞链是SSRF+broken access control+directory traversal,破坏任意一环都能有效缓解利用,这也是从软件漏洞本身去修复,RWX的思路更适合HIDS/EDR这类兜底产品来负责。类Electron客户端漏洞层出不穷跟它用network socket作内部RPC调用有很大关系,SSRF成本太低。
@@soneomeelse 当然最优先解决的应该是dir traversal 的问题。我不用windows伺服器,所以用的是linux的角度看RWX权限控制。理论上如果负责clash的用户无法写入除自身config和log目录,也可避免这种情况,因为根本不可能把payload 放到会自动执行的地方。除非漏洞是privilege escalation之类,否则不可能突破OS 设置的权限控制。即便clash 甚至是其他软件出漏洞了,这个方法仍然确保万无一失。
Edit: 回应监听小端口的问题,据我所知systemd config 可以单独允许监听小端口而没有高权限。甚至更进一步,应该用reverse proxy 的方式监听小端口再forward 给clash
我台式机系统是manjaro linux,用了shellclash,也用的yacd面板,没有配置公网,危险性应该不大吧?
问一下,今天看视频的时候突然就跳转到百度首页了,什么都没点,平时也没用过百度,会不会有啥危险呀
这个漏洞对macos 10.15以上的版本是没有影响的,macos 最近几个版本对软件写入权限做了严格限制,根本没有办法写入自启动脚本,不过建议m1版的电脑可以使用iOS版的代理工具.
赶紧打开电脑看了一眼版本13.4,应该不影响吧……
🎉
Mac上用的qx,除了没有状态栏,感觉比clash还好用点
mac 用 qx ,loon, 小火箭
但流量还是可以偷的吧
全程无废话,赞一个!
我用的就是旧版本,有没有知道怎么查看自己有没有被攻击?
中国翻墙者太难了,真的只存在于国家机器想不想找你,而不存在你被不被抓。真想要相对安全,还是得肉身翻墙。
难的不是国家怎么样,而是一帮坏蛋专盯着这些翻墙没保障的黑
想借地问一下 有时候点链接弹出一个新的chrome窗口又自己消失了是不是中了什么坏东西😨
相信我绝对是的,那个chrome其实是系统毁灭工具,闪一下windos立刻变身MAc ios
真的很感谢博主,我用的以前的版本,这些都不知道,真的很感谢,路转粉😘
博主的clash‘可以分享一下吗😀
民间的程序让人利用,或者就不是民间的,干脆就是钓鱼,或者有目地的部门,有意漏洞,揭露了再补。要小心,一定要小心。这个视频警醒了爱好者。网上本来就有钓鱼视频目的你懂的。
Clash for windows 不是删库跑路了吗? clashX最后提交是2 年前的 1.95还是 1.96来着。
Mac用clash没事吧
妈耶,不明白为什么根据不可信数据进行的操作竟然没有sanitize,而且还是默认开启、默认允许所有域名跨域、默认无密码
默认CORS和没有api key是最大的问题,竟然有人认为可以不设置api key的
以为内网安全所以无需设置key,早期CFW也默认无key,后面爆过XSS就比较重视加上了
我想用python切换节点就是不成功,节点名是fxxxxd 日本 - 002
响应
{"message":"Body invalid"}
还好上次爆漏洞就没用clash了
我用的passwall,这个也好用。
天呐,clash重度患者,经常浏览各种导航会不会已经出现问题了😭
意味着什么呢?你买了一个100块钱一个月的奶昔机场,然后黑客给你干个程序电脑成pcdn了,才用两天流量没了
cfw作者听说被抓😂
沒講mac版怎麼設定,最新版已不支援我的macos系統,衹能用舊版,介面也和windows版不一樣。
以前多次遇到这种跳转式的网站。小时候看过一些病毒介绍,知道不对劲,但无力排查
幸好关注了不良林,不然要走光光
手机会有影响吗 clash for andriod
上次出漏洞就换v2rayn了😢
clash官方的github地址是多少啊,我下的地方最新是0.20.27,不是同一个么🤣
rootless docker + no cache 模式部署网关 = 一劳永逸...
clash都出多少事了。。还好从来没用过
听不良林,警钟长鸣 。
啊 我用的就是这个 手机 然后节点是网上 找到一个每日提供免费节点 我就直接粘贴用了 不知道会有什么问题😢
大佬 我喊别人帮我激活了Google TV,我拿回来可以用吗?我没有软路由
eset对这个有防护效果吗
我的浏览器打开每次都是百度主页,无论怎么改都没用?是不是中毒啦。我用的是麦咖啡的杀毒软件
您好 请问clashmeta 现在更新修复这个漏洞了吗
可以问下 如何判断自己是否已经被注入或者中病毒那
问下大神们clash for android 有更新方式嘛 视频里好像没说
请问怎么通过fofa查询一个IP的服务器网址?
就算为了流量又怎么样,视频干净利落也不拖泥带水,另外也是真的可能发生的问题,提个醒注意一下不是也挺好的
目录穿越导致的任意文件写入导致的后门植入😂
Clash 真烂,报漏洞的总是它
老实说,根本不在乎,爱咋滴咋滴
没事,我用V2Ray😂
哥们真是VPN专精哥,放在日本得是个VPN仙人了。
我用的是clash for windows,全是英文,找不到中文設置怎麽辦?
所以我在用V 0.20.16所以我没事。。哈哈哈。。。最新的我不用。。。哎找不到我。
吓得我赶紧打开火绒杀一遍
这些我都不懂 你的easyclash还能用吗 我一直在用
无法连接到 Clash core 核心,日志不可用是怎么回事
晕死,这个软件怎么这么多高危漏洞啊?
我用的是mac os版的clash x pro升级到最新版了,应该不会中招了吧楼主?
感谢Up主,Mac Windows已更新到最新。但是Clash For Android 最新版本是22年11月的,这个最新的Android版本的Clash是没有这个问题呢,还是漏洞补丁还没更新?
没有这个问题
卸载了还能攻击吗
这个clash怎么和普通版的不一样啊,怎么安装大佬
clash verge
@@若璃-g7u 下载完不会用🤣
想请问一下,macOS,刚装了CFW,也替换了clash.meta。自建的VPS,reality,怎么导入到CFW?我看写的手动配置要导入一个脚本似的,不懂
我現在在大陸的安卓上用clash配置的vpn給你們發送評論,一般在臺灣不用
盲猜一下是随便配置了跨域,现在好多前后端分离的项目都有这个问题。不过对于国内,一般除非有权进入了内网,这个漏洞才能被利用。要是映射到公网上的,那就凉凉了
clash 是跑在 localhost 上的,但配置了跨域允许 https 网页可以访问 localhost 上的接口,所以只要攻击者有个 https 网页就能调接口,不需要内网
路由器没给clash开外网端口不用怕
前面演示的是CSRF攻击,跟开不开外网端口没关系
@@bulianglin 你说的对
现在大部分电脑有IPV6映射在公网吧!
算了,还是不用使用Clash了,我用GreenHub
已经开启了授权密码,怎样才能取消授权呢?现在那里只有“更新”一项可“选择”执行,难道已经回不去了吗?
密码留空就不用授权了
请教下UP,我用你推荐的静态IP+快联+指纹浏览器,为什么google账号还是会被风控,提示存在关联交叉!
厉害,所以有人分享免费机场给你你也要小心,可能这个人想入侵你的电脑
请问如果是用clash for Android,会受影响么?这个是用的很久的老内核
感觉这个比去年那个xss引起的漏洞危害高的多,直接就是远程的,快去搞个CVE
这个太吓人了 随便一搜 几千个暴露的ip信息
最近我的亚马逊云被盗了,这几天时不时就在回忆到底是哪里出了问题,看了这期视频,终于找到了答案,我用的就是linux的透明代理。。。。哎
支持up普及网络安全!
大神,我是在红米路由器上安装的shellclash,这种应该怎么修补漏洞啊
虽然看不懂,但是仍然先赞再评论再看,一条龙走下去
过去2年用过,会有莫名的网络连接到江苏连云港。 不知道你们的会不会!
请问trojan-qt5 v1.4.0受影响吗?听说trojan也客户端也用了clash内核?求解答
L君,能提供个现时为止最安全的小猫咪网盘下载吗