[新闻]网曝三大电信运营商存计费系统漏洞 官方未与回复行业分析师称问题不大(图)

ChongMingS.COM崇明网讯 中新网12月30日电(IT频道 吴涛) 29日，国内漏洞报告平台乌云的一则漏洞公告显示，中国移动、电信和联通存在流量计费系统漏洞，用户可以利用该漏洞从而使用远远超出其套餐的流量。

随后，中新网IT频道联系了三大运营商核实情况，截至发稿，尚未收到回应。

漏洞公告中称，运营商为了给客户提供方便，设置了免收取流量费的白名单，当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。

“问题出在检测上，当用户访问互联网时，向服务器发送一条http请求头，计费系统通过检测请求头来分辨用户访问的是不是白名单中的网址或者是接收彩信。但是计费系统检测的是用户发来的请求信息，这条信息是来自于用户的，通过自定义该信息可以达到欺骗计费检测达到免流量上网的目的。”上述漏洞公告描述道。

公告中还称，若漏洞扩大，会使运营商损失过大。独立电信行业分析师付亮对记者表示，电信运营商计费系统可能有BUG，上述情况也有可能存在，但这不是大漏洞，影响不大。

本文援引：http://tech.qq.com/a/20151230/060581.htm

HONKER.ORG.CN中国红盟表示，白名单审核方式是校验权限的一种常见方式，即便是用户提交这种校验方式请求其问题也正如分析师付亮所述并不大，原因在于所谓伪造或自定义信息绕过请求，那么就等同于用户知道账户密码一般，那么该条白名单就已经成为了解锁的密码，当然就畅通无阻了；而另一方面来说，一条白名单出现了泄密事件，是可以选择需要关闭或删掉该规则的，一旦白名单失效或更改，那么自然“计费漏洞"这一概念并不存在；当然从新闻事件中我们并不确定乌云网到底是否真实掌握了“计费漏洞的关键”：如果是白名单出现了规定性生成模式，那么可以称为漏洞，但倘若仅为其对记者的话语表述中所讲反向自定义信息或匹对获知来服务器中的白名单http请求头代码，那这种所谓“漏洞”就是乌云网闹乌龙了。