三大运营商流量计费漏洞曝光：可以不要钱

IT之家讯12月30日消息运营商流量资费改革政策之所以困难重重，很大程度上是因为中国移动、联通和电信都有已经成熟的流量计费系统，想要改变不免会“牵一发动全局”。那么这样一个庞杂的系统中有没有漏洞呢？目前，国内乌云漏洞平台就曝光了中国移动、联通和电信三大运营商共同存在的一项流量计费漏洞，如果被黑客利用，可能对运营商造成很大损失。

这个漏洞由乌云漏洞平台作者小极白客发现，他表示，中国联通、中国移动、中国电信三大运营商流量计费系统漏洞，有些客户会对此漏洞加以利用从而使用远远超出其套餐的流量，倘若漏洞扩大，会使运营商损失过大。

根据其在乌云漏洞平台给出的介绍，运营商为了给客户提供方便，提供了优惠政策，如：接收彩信、登陆掌厅免除流量费以及免收取流量费的其他业务。运营商的计费系统为了区分用户使用的是免流量业务还是正常访问互联网会把这些免流服务的网址加入到白名单，当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。

问题出在检测上，当用户访问互联网时，向服务器发送一条http请求头，请求头中包含了访问的网址、UA、网络协议、主机(host)、Cookie、来源地址、文件类型等信息。计费系统通过检测请求头来分辨用户访问的是不是白名单中的网址或者是接收彩信。但是计费系统检测的是用户发来的请求信息，这条信息是来自于用户的，通过自定义该信息可以达到欺骗计费检测达到免流量上网的目的。

微信搜索“IT之家”关注抢6s大礼！下载IT之家客户端（戳这里）也可参与评论抽楼层大奖！