这是一个创建于 1456 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 butanediol2d 2022 年 2 月 25 日  11 这是 Clash for Windows 的漏洞,不是 Clash 的漏洞。 |
 | 2 yiXu 2022 年 2 月 25 日 最新版已修复,而且漏洞应该只在 0.19.8 |
| 3 yiXu 2022 年 2 月 25 日 重新验证了下,0.19.5 可复现 issue 调用计算器。。。 |
 | 4 icebay 2022 年 2 月 25 日 自己搭的看了之后选择无视 |
 | 5 Jooooooooo 2022 年 2 月 25 日 这种漏洞有没有什么办法尽可能避免呢... 一个 name 明明就是展示字符串, 居然还能执行命令. |
 | 6 WeiYuanStudio 2022 年 2 月 25 日 1 佩服,订阅可以投毒了 |
 | 7 gadfly3173 2022 年 2 月 25 日 1 |
 | 8 noyle 2022 年 2 月 25 日 https://github.com/Fndroid/clash_for_windows_pkg/issues/2710#issuecomment-1050689930 教辅:屑是一个新时代的贬义词,指一个人或事物很垃圾,很废物。 via https://baike.baidu.com/item/%E5%B1%91/55729420 |
| 9 Jooooooooo 2022 年 2 月 25 日 @gadfly3173 不太懂这个. 不过难道没有纯 string 这种结构吗? |
| 10 gadfly3173 2022 年 2 月 25 日 @Jooooooooo #9 理论上对于 html 和 js 来说,精心构造的字符串插入页面可以绕过作者本身预期的行为,毕竟是运行时的语言。类似的就是 sql 注入。因此需要对用户输入进行转义。当然转义也可能有某些未被发现的边界情况,不过要绕过这种已经很困难了。 |
 | 11 fndroid 2022 年 2 月 25 日 6 |
| 12 Jooooooooo 2022 年 2 月 25 日 @gadfly3173 至少我知道的, 在 java 里的 mybatis 框架中, 就有纯 string 这种概念, 拿到的串只有字符含义, 没有任何执行含义, 不可能发生注入. 类似这里, 本身就是个 name, 完全没有执行代码的业务可能, 赋予一个传啥展示啥的 string 含义也合理吧(我理解语言框架层面也应该去支持类似的逻辑功能) |
| 13 gadfly3173 2022 年 2 月 25 日 @fndroid #11 启用 sandbox 的话应该是可以避免 child_process 的调用的吧,至少可以减少影响 |
| 14 gadfly3173 2022 年 2 月 25 日 @Jooooooooo #12 是的 这些都是有解决方案的,当然和 mybatis 的#{}一样,都需要去手动处理 |
 | 15 cozof 2022 年 2 月 25 日 via iPhone 这标题,梦回灰鸽子。 |
 | 16 Akiio OP |
 | 17 mxT52CRuqR6o5 2022 年 2 月 25 日 @gadfly3173 要是我自用的 electron 项目肯定不开 sandbox ,启用 sandbox 开发起来麻烦的不是一点半点,要是有 electron 的 node 模块一体化调用框架就好了 |
| 18 gadfly3173 2022 年 2 月 25 日 via Android @mxT52CRuqR6o5 阿这,官方推荐还是渲染进程和主进程各干各的,不给渲染进程直接操作 node 的权利。这样也比较有分层的感觉,javaboy 还挺喜欢 |
 | 19 d5 2022 年 2 月 25 日 1 梦回 灰鸽子 +1 |
 | 20 wangyu17455 2022 年 2 月 25 日 然而我是直接用 clash 核心的 23333 |
 | 21 iPhone12 2022 年 2 月 25 日 梦回红尘网安 |
 | 22 yanqiyu 2022 年 2 月 25 日 via Android @Jooooooooo electron 开沙盒 |
 | 23 yeqizhang 2022 年 2 月 25 日 刚刚我的 15.1 复现可调起计算器,已经更新到最新了。还好逛了 v2 看到了爆漏洞.... |
 | 24 x86 2022 年 2 月 25 日 有主机上线请注意 |
 | 25 zhou00 2022 年 2 月 25 日 0.19.5 复现了,谢谢提醒,已更新最新版本 |
 | 26 ignor 2022 年 2 月 25 日 via Android 机场拿这个漏洞攻击用户相当于是砸自己招牌了吧… |
| 27 mxT52CRuqR6o5 2022 年 2 月 25 日 via Android @ignor 机场没理由攻击,公共转换服务可是有的 |
 | 29 CallMeReznov 2022 年 2 月 25 日 用的 clash.net................ |
 | 30 love4taylor PRO @ignor ( oneman )机场遍地是,这还真说不好。 |
 | 31 HFX3389 2022 年 2 月 25 日 Clash for windows 好像是不开源的 |
 | 32 xrzxrzxrz 2022 年 2 月 25 日 专门试了个老版本,0.13.6 ,也有漏洞.. |
 | 33 MoeMoesakura 2022 年 2 月 26 日 @ignor 上次 nyanpass 的历史,,, |
 | 34 wh1sper1023 2022 年 2 月 26 日 @Jooooooooo 因为他相当于是显示 html ,可以执行 js 代码。如果没有正确的转义或者开启沙箱的话,就可以直接用 js 执行系统命令 |
 | 35 titanlpy 2022 年 2 月 26 日 问题不大,机场不至于自砸招牌 |
 | 37 rpish 2022 年 2 月 27 日 |
 | 38 magicdawn 2022 年 2 月 27 日 一个不开源的软件这么多 star, 离谱 |
| 39 mxT52CRuqR6o5 2022 年 3 月 2 日 @gadfly3173 就比如我想展示一个本地文件的内容,如果可以直接用 node 模块,直接 require 个 fs 几行搞定(当然安全性就低了) 开 sandbox 的话就得两边建好几个文件,声明 ipc 通信,把东西传来穿去,想一下就感觉很麻烦 像字节有开源个前端框架 modern.js ,其中有个 [一体化 BFF 方案] 特性,前端代码里可以直接 import 后端代码里写的 api 函数,框架自动转成 http 请求 所以我就想如果有基于 electron 的框架也能做到类似的事情就好了( render process 直接 import main process 的代码,自动转换成 ipc 通信) |
 | 40 dragonQueen 2022 年 3 月 5 日 @magicdawn 在 release 页面,我看有 source code 的下载项 |
| 41 magicdawn 2022 年 3 月 6 日 @dragonQueen #40 原来开源是这么玩的 |
 | 42 cxy2244186975 2022 年 7 月 19 日 via Android 梦回黑客防线 |
Select Language