clash爆高危漏洞！clash.meta也中招！所有系统全中招！如何安全设置clash？暴露RESTful api接口的危害，实战演示中木马病毒被黑客控制电脑，任意目录写入文件漏洞，跨域攻击

关于有的朋友认为这不算是漏洞，我想补充几个观点：
1、路径穿越本身并不被视为漏洞，因为很多程序允许 人为 的路径穿越。
2、内网环境没有设置Clash API密钥很常见，因为内网环境通常被认为是相对安全的，大多数人不会在内网环境中设置授权密码。
3、CORS本身也不是漏洞，而是浏览器实施的一种安全机制。
但是，由于内网环境未设置Clash API密钥，这使得任意网站可以通过浏览器的CORS机制调用Clash API接口。同时，路径穿越的存在使得调用API接口后，恶意代码可以被写入到电脑上的任意有权限的位置（非人为的路径穿越）。这样的攻击链就构成了漏洞。
尽管集齐这三个条件可能看起来很困难，但实际上，视频中展示的Clash Verge+Clash.Meta组合的默认配置就满足了这三个条件。对于不熟悉安全性的普通用户来说，默认情况下就存在这个漏洞。因此，视频中主要演示如何通过为Clash API添加密钥来打断这个攻击链，以确保安全性。
如果大家有其他观点，欢迎在评论区留言交流。

全程无废话，赞一个！

真的很感谢博主，我用的以前的版本，这些都不知道，真的很感谢，路转粉😘

支持up普及网络安全！

吓一跳，赶紧更新了，感谢博主

确实讲得太棒了，能讲讲软路由就好了

干货满满👏

必须点赞

讲的太棒了

先点赞再观看

小tips，fofa扫出来的应该大部分是部署在路由上的openclash，它本身对路径穿越是有防护的，以及对权限限制比较完善，所以还是比较安全的

专业。涨知识了。谢谢

很棒的教程😘😘

为了流量的小随想，支持不良

感谢提醒😊

Security through obscurity ，利用隐蔽性达到安全性永远不是一个好的方法。该解决的除了是path traversal的漏洞以外，最主要的是应该解决未授权的用户能随意控制API接口的问题。不设置API key就可以拥有RWX控制是一个很大的漏洞。当然，理论上不应该允许负责clash 的用户拥有写入任何目录的权限。顶多是给写入config目录的权限，而且不应该有execution的权限。

感谢您的分享

感谢分享😁

多謝提醒.

很多人都覺得彈計算機沒甚麼 實際上就是很嚴重的 RCE 相當於你被控制

感谢分享，我赶紧更新了clash

加油,你的初心是對的,不用在意別人

老哥厉害

多谢大神提醒

谢谢博主~

先赞后看

太赞了，感谢分享！🎉🎉🎉

it小白路过，惊呆了，私以为以现在的防火墙水平，能直接通过钓鱼链接控制电脑几乎是不可能的事，结果现实狠狠的给了一耳光，涨见识了

老哥你好，作为您的粉丝一直在用您的测速软件和easy clash,一直以来都非常好用，看了这期视频想问一下这两个软件需要更换clash内核来规避这次风险吗，如果需要的话又该下载哪个内核文件更换呢

感谢不良林！

感谢分享，支持订阅

谢谢博主分享！

感谢🙏，我现在就改！

感谢分享

安全绝对是天大的问题，受攻击造成的损失是无法估量的，心痛！

❤爱来自感谢

up你好，请问现在clash删库之后，我们应当作何反应？是否应该尝试使用如v2ray的工具替代clash？

好人一生平安！

谢谢分享

虽然看不懂，但是仍然先赞再评论再看，一条龙走下去

看着挺好玩❤

谢谢UP分享虽然我很少用clash，但是这个问题确实很严重。

支持！

请教UP主一个问题, 同样的节点, 电脑使用没任何问题. 手机端连接WiFi没有问题, 但是移动网络就不行. 但是移动网络中,如果将节点服务器更改为VPS的IP地址, 就可以了. 不知道什么原因. 手机端是shadowrocket

感谢大佬。赶紧完成升级。之前觉得有点怪，近来clash时不时就无法启动内核，一直处于disconnected的状态，重启后又ok，不知什么原因，和这漏洞有关系吗？

感谢大佬

很完美，怪不得我说使用classh测速的时候根本无法使用呢 - - ， 哈哈哈

可以出一期视频讲讲如何辨别专线节点嘛

docker环境 哪个镜像可以包含内核+WebUI? docker环境两者必须是分开搭建的吗?

感谢Up主，Mac Windows已更新到最新。但是Clash For Android 最新版本是22年11月的，这个最新的Android版本的Clash是没有这个问题呢，还是漏洞补丁还没更新？

不良林大大，可以讲一讲ikev2节点搭建吗？

那手机当做旁路网关那期box5使用的clash.meta会对局域网其他设备造成隐患吗？

以前多次遇到这种跳转式的网站。小时候看过一些病毒介绍，知道不对劲，但无力排查

刺激哦

Thank you very much,

想请问一下，macOS，刚装了CFW，也替换了clash.meta。自建的VPS，reality，怎么导入到CFW？我看写的手动配置要导入一个脚本似的，不懂

我台式机系统是manjaro linux，用了shellclash，也用的yacd面板，没有配置公网，危险性应该不大吧？

请问config.yaml文件中这么多配置视频教程有吗？在哪期？我这个配置文件中只有四行

请问trojan-qt5 v1.4.0受影响吗？听说trojan也客户端也用了clash内核？求解答

厉害

有没有办法讲一下如何设置路由器或者配置clash，上网飞？不知道为什么，我ps5上不了网飞，电脑登网飞网站也打不开，但是微软商店里下了个网飞app却可以登陆网飞，我用的梅林，同样的节点，同样的路由器为为什么会这样？

clash 放在软路由里面会不会存在还是只针对PC客户端？

黑客也可以靠更换代理配置来截获网络流量吧，这也很危险啊

问一下，今天看视频的时候突然就跳转到百度首页了，什么都没点，平时也没用过百度，会不会有啥危险呀

UP主能给普及一下openclash添加80和443端口的VMESS节点，为什么就上不去网？ 在v2ray软件中就可以正常使用。

好彩

如何自己检查自己有没有暴露api，有没有已经被攻击，能不能关于这个出一期教程，提高安全防范水平。
被入侵，如果自己浏览器上的小狐狸钱包里有不少钱，会不会被别人划走啊😢

在nas服务器中的使用openclash做透明代理，然后在其他机器上点病毒链接，会下载恶意代码吗？是下载在nas上还是点链接的机器上呢？

請問作者的clash easy 影響多大？

感谢

太吓人了，感谢您的提醒！这就去修改配置

学到了

装在路由器里的meta，会有影响吗？

版主，你好，我有个小问题，就是clash for windows 点击旁边显示 有更新，就会下载最新版本对吧？但是最新版本打开是英文界面的，有什么方法做汉化翻译吗？

作者大大，路由器梅林上的clash有影响吗

举个例子 假如已经被监控 按你说的配置随机端口加密码 就能解决吗？万一他录屏了 看到你设置密码不是还是不行？

请教下UP，我用你推荐的静态IP+快联+指纹浏览器，为什么google账号还是会被风控，提示存在关联交叉！

前排❤

请问：clash 可以装到虚拟机上吗？比如：Hyper-V Manager

请问如果是用clash for Android，会受影响么？这个是用的很久的老内核

我想问一下苹果手机用小火箭连接节点测试延迟可以，但无法上网，电脑上用v2ray可以上网，为什么

Kali用的好，牢饭吃到饱😅

所以我的clash-api只允许本地访问，也单独给了clash服务一个权限较低的用户，导致clash完全不能向电脑写数据。写了一个外部的脚本更新clash配置文件。。

想借地问一下 有时候点链接弹出一个新的chrome窗口又自己消失了是不是中了什么坏东西😨

请问我用v2rayn上网的时候开自动配置没有用 要开PAC才有用是什么情况

安卓端的clash.meta 版本的怎么设置？Apl那个地址能设置，鉴权那个设置不了第七行会报错

真皮！！

大佬 openclash是否安全呢，安全与否是不是和使用的机场有关呢？设置旁路由模式来科学上网是否有必要？

大佬你好，想请教一下，既然这次都高危漏洞是基于clash内核的，那么clash for Android也会受到这个漏洞影响吗？

牛逼

不良老哥，请教一下用Merlin Clash,会不会中招啊，因为不了解Merlin Clash的结构。。。所以请教一下

手机会有影响吗 clash for andriod

我用的是mac os版的clash x pro升级到最新版了，应该不会中招了吧楼主？

试了一下 还真是

我点了上面的演示连接，然后跳转到百度首页了😅，我没用clash，没啥问题吧？

我之前被木马感染，连了矿池，用的是V2N的10808端口。关闭局域网共享这矿池就连不上我，我也不懂技术，重做系统也没用，360小红伞也不行。重做后连10808还是在的。再后来请出卡巴斯基解决掉了。这个默认的端口都应该小心点改掉。

在软路由里使用的，是不是修改配置文件里的端口，添加密码就好了

卧槽😱

目录穿越导致的任意文件写入导致的后门植入😂

请问我的版本是0.19 设置里没有外部控制，还需要更新吗。。