乌云曝三大运营商流量计费系统漏洞：客户可免费多用流量

【TechWeb报道】12月30日消息，乌云平台一则公告称，发现移动、联通、电信三大运营商流量计费系统漏洞，客户可以利用该漏洞免费使用远远超出其套餐的流量。

乌云曝移动、联通、电信流量计费系统漏洞

乌云公告显示，漏洞细节已通知厂商，正等待厂商处理。

乌云对漏洞详情的描述：

披露状态：

2015-12-29：细节已通知厂商并且等待厂商处理中

简要描述：

三大运营商流量计费检测系统漏洞，有些客户会对此漏洞加以利用从而使用远远超出其套餐的流量，倘若漏洞扩大，会使运营商损失过大。

成因：运营商为了给客户提供方便，提供了优惠政策，如：接收彩信、登陆掌厅免除流量费以及免收取流量费的其他业务。

运营商的计费系统为了区分用户使用的是免流量业务还是正常访问互联网会把这些免流服务的网址加入到白名单，当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。

问题出在检测上，当用户访问互联网时，向服务器发送一条http请求头，请求头中包含了访问的网址、UA、网络协议、主机(host)、Cookie、来源地址、文件类型等信息。计费系统通过检测请求头来分辨用户访问的是不是白名单中的网址或者是接收彩信。但是计费系统检测的是用户发来的请求信息，这条信息是来自于用户的，通过自定义该信息可以达到欺骗计费检测达到免流量上网的目的。

漏洞hash：cad8aa6cd230452be0d11dd6ab9a023c