12月30日消息 運營商流量資費改革政策之所以困難重重�,很大程度上是因為中國移動、聯(lián)通和電信都有已經(jīng)成熟的流量計費系統(tǒng)���,想要改變不免會“牽一發(fā)動全局”。那么這樣一個龐雜的系統(tǒng)中有沒有漏洞呢�����?目前�,國內(nèi)烏云漏洞平臺就曝光了中國移動、聯(lián)通和電信三大運營商共同存在的一項流量計費漏洞����,如果被黑客利用,可能對運營商造成很大損失��。
這個漏洞由烏云漏洞平臺作者小極白客發(fā)現(xiàn)�,他表示,中國聯(lián)通���、中國移動���、中國電信三大運營商流量計費系統(tǒng)漏洞,有些客戶會對此漏洞加以利用從而使用遠遠超出其套餐的流量����,倘若漏洞擴大��,會使運營商損失過大���。
根據(jù)其在烏云漏洞平臺給出的介紹,運營商為了給客戶提供方便�,提供了優(yōu)惠政策,如:接收彩信��、登陸掌廳免除流量費以及免收取流量費的其他業(yè)務(wù)����。運營商的計費系統(tǒng)為了區(qū)分用戶使用的是免流量業(yè)務(wù)還是正常訪問互聯(lián)網(wǎng)會把這些免流服務(wù)的網(wǎng)址加入到白名單,當計費系統(tǒng)檢測到用戶訪問的是白名單中的網(wǎng)址或接收彩信時就不會進行扣費�����。
問題出在檢測上�����,當用戶訪問互聯(lián)網(wǎng)時�����,向服務(wù)器發(fā)送一條http請求頭��,請求頭中包含了訪問的網(wǎng)址�、UA、網(wǎng)絡(luò)協(xié)議����、主機(host)、Cookie�����、來源地址�、文件類型等信息。計費系統(tǒng)通過檢測請求頭來分辨用戶訪問的是不是白名單中的網(wǎng)址或者是接收彩信�����。但是計費系統(tǒng)檢測的是用戶發(fā)來的請求信息�����,這條信息是來自于用戶的��,通過自定義該信息可以達到欺騙計費檢測達到免流量上網(wǎng)的目的�����。
小編推薦閱讀
