V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  mikewang  ›  全部回复第 1 页 / 共 29 页
回复总数  580
1  2  3  4  5  6  7  8  9  10 ... 29  
定时让 NAS 叫也是个好方法。

比如我的威联通,这个命令可以让它叫一声(还挺响的)
/sbin/hal_app --se_buzzer enc_id=0,mode=101
Authenticator 的话,如果是通用的 TOTP 那种 2FA 验证,甚至可以自己在线部署一个。
手机有浏览器就能用。https://github.com/Bubka/2FAuth
不是最佳但管用的方法,将以下两行加入 ~/.bashrc:

export LC_ALL=en_US.UTF-8
export LANG=en_US.UTF-8
@milukun 是不是有代理设置没关:检查 网络偏好设置 - 高级 - 代理
再不行检查你的路由表:netstat -nrfinet
或者尝试重启。
base64 只能防低级的爬虫
你应该让赛方创建一对公私钥,公布公钥,然后所有人用这个公钥加密发过去。只有持有私钥的人才能解密。
32 天前
回复了 dapolly 创建的主题 宽带症候群 新加坡家庭宽带 10G 如何利用起来
延迟低的话或许可做中转,限制只能访问 cf warp ,然后 warp 落地。这样出口 ip 就不是你的 ip 了,然后用户也不用担心隐私泄漏。
如果一定要这么做,至少用上 https 再加一个 basic auth ,使用主密码保护一下。比随机生成的网址要靠谱。
太正常了,长期出差住酒店的体验就是,每到旅游旺季都得算着酒店价格,就怕超出报销额。
上海会更离谱,原淡季 200 一间的房型,旺季能飙升到一天八九百。
@ClarkAbe 或许你可以换一个稍旧一点的版本测试。mihomo 在此工具发布之后已做出改进: https://github.com/MetaCubeX/mihomo/commit/fc9d5cfee944a75b989d17c637a321e73c52093a

因此这个工具针对的是工具发布之前的所有 clash 系列内核和 GUI 版本。包括 verge-rev 在内的各软件都会做出改进:
https://github.com/clash-verge-rev/clash-verge-rev/issues/1792
https://github.com/clash-verge-rev/clash-verge-rev/issues/1783

ClashScan 目的是推进解决安全问题,扫不出来应是最终目的。
39 天前
回复了 mikewang 创建的主题 信息安全 Clash 检测工具的原理
@vvhy 合入了 https://github.com/MikeWang000000/ClashScan/pull/1 ,增大了并发数。如果原来能检测,后来检测不到了,可能是并发过大,浏览器没扛住导致的漏检
@aiqinxuancai 实际就是墙了,CF 有很多的 IP ,通过改 hosts 的方式指向新的 IP ,然后新 IP 瞬间就 ping 不通了。
改回来过五分钟左右就恢复能 ping 了。很明显的。
43 天前
回复了 dreamswhite 创建的主题 数据库 请教 SQLServer 迁移到 MySQL 方案, 1W+DB
需要国产化的话,找对应厂商做迁移最好。http://www.itsec.gov.cn/aqkkcp/cpgg/
导数据是一部分,SQL 方言和计算表现不一样也会产生各种兼容性问题,需要慎重考虑的。
既然可以指定 cloudflare 的 worker 区域,那应该还可以配合 vless 的 worker 脚本,做到指定地区的 proxy ?
46 天前
回复了 mikewang 创建的主题 信息安全 Clash 检测工具的原理
#18 @cleanery mihomo 是刚修好的,他们做了改进。
文中提到的 clash 系列就包括 mihomo ,也就是 meta 。
至于原版的 clash 核心,早删库了,应该不会复活了吧(
46 天前
回复了 mikewang 创建的主题 信息安全 Clash 检测工具的原理
#4 @est

1. 访问子域名(例如 example.com 访问 sub.example.com )是跨域的。
2. 子域名可以修改 document.domain 属性为父域名,避开跨域检测( sub.example.com 可改为 example.com )。但是这种操作已被废弃,较新的浏览器都会禁止修改 document.domain 属性。

因此设置域名指向 127.0.0.1 的方法应该不可行。
@SenLief 这次说明的不是公网问题。而是 Clash 的 CORS 设定不合理,可以通过浏览器前端,让浏览器扫到你 127.0.0.1 上的端口,借浏览器跨域控制 clash 。
@ZeroDu
也不完全一样,做了一些加强。

这次想说明,即使改成 127.0.0.1 ,加密码不改端口号,也能通过路径探测到 clash (虽然获取不到节点信息,但是能知道你在用。)当然不加密码更是直接读配置。

———
@y1y1

之所以能成功跨域,是因为 clash 内核的 header 设置了 Access-Control-Allow-Origin: *,相当于解除浏览器跨域限制,欢迎大家来访问。
不过还有一些浏览器像 Safari 限制更严格,https 不能跨域到 http 被拦截,还有一些隐私插件会拦截,所以不是 100%保证成功。

这次做的比较匆忙,是一个粗糙的 demo ,没有太大技术含量。只是为了证明 CORS 的设置不合理,应有配置能默认关闭。

———
@WhatTheBridgeSay

网页“任何网站都能检测”是对 Access-Control-Allow-Origin: *的解释,通配符允许了所有网站。不过确实不够严谨,因为可能还会遇到其他限制。

时间原因,没法做到面面俱到。网页就在 GitHub 上,如果有好的建议欢迎直接提 PR ~

———
对于端口扫描,正常情况下浏览器前端是没法对本地端口扫描的。Access-Control-Allow-Origin: *导致有被扫到的风险。就是这样。
#58 @liuzimin 说的是 9090 的 api 端口,verge 默认是 9097 。
#56 @shizhibuyu2023

部分 clash 客户端,默认配置下(默认端口,无密码验证):

1. 即使 clash 端口不暴露外部,运行在本地,外部网站也能通过网页调用,读取或者修改 clash 配置;
2. 如果是老版本 clash 核心,利用这种方法,还可以配合( CVE-2023-24205 )漏洞,控制整台电脑。

如果加了密码,但保持默认端口:

1. 外部网站也能通过网页调用,根据不同的报错情况,推断出你在使用 clash 。

================

#57 @YCCD

好的反馈!我在 macOS Safari 上测试了一下,Safari 不允许从 https 页面上发起 http 请求。
所以是检测不到的。但是如果 GitHub Pages 是 http 的,那就可以调用了。
#43 @addenvex 是的,即使有密码,返回 401 也能检测到。
请求记录里这些接口会返回 401 ,然后你访问一些其他的路径会返回 404 。通过这些接口路径特征,能推断出 Clash 及其版本号。

#44 @wniming 有一定的推断逻辑在里面,可能你的环境刚好命中特征了。会有误报的可能。
1  2  3  4  5  6  7  8  9  10 ... 29  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5824 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 38ms · UTC 03:23 · PVG 11:23 · LAX 19:23 · JFK 22:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.