乌云曝三大运营商免费流量漏洞 乌云平台曝光运营商免费流量漏洞

乌云漏洞检测平台时刻关注互联网动态，近日乌云曝三大运营商流量计费系统存在漏洞，无论移动联通还是电信都有可能利用该漏洞用超免费流量。

乌云平台揭运营商bug 用户可用超免费流量

乌云公告显示，漏洞细节已通知厂商，正等待厂商处理。

乌云对漏洞详情的描述：

披露状态：

2015-12-29：细节已通知厂商并且等待厂商处理中

流量计费错误简要描述：

三大运营商流量计费检测系统漏洞，有些客户会对此漏洞加以利用从而使用远远超出其套餐的流量，倘若漏洞扩大，会使运营商损失过大。

漏洞成因：运营商为了给客户提供方便，提供了优惠政策，如：接收彩信、登陆掌厅免除流量费以及免收取流量费的其他业务。

运营商的计费系统为了区分用户使用的是免流量业务还是正常访问互联网会把这些免流服务的网址加入到白名单，当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。

问题出在检测上，当用户访问互联网时，向服务器发送一条http请求头，请求头中包含了访问的网址、UA、网络协议、主机(host)、Cookie、来源地址、文件类型等信息。计费系统通过检测请求头来分辨用户访问的是不是白名单中的网址或者是接收彩信。但是计费系统检测的是用户发来的请求信息，这条信息是来自于用户的，通过自定义该信息可以达到欺骗计费检测达到免流量上网的目的。

该流量计费漏洞hash：cad8aa6cd230452be0d11dd6ab9a023c

乌云平台揭运营商bug 用户可用超免费流量就为大家介绍到这里，更多行业资讯欢迎关注酷易软件园。