首页 > WEB互联网 > 一个OpenVPN程序可以用户无限流量上网漏洞
2016
04-17

一个OpenVPN程序可以用户无限流量上网漏洞

转载至乌云:http://www.wooyun.org/bugs/wooyun-2010-0176249

通过OpenVPN修改数据host发送给服务器,当host修改为wap.10086.cn/rd.go.10086.cn/任何被归属运营商列入免费流量的网站,用户所有接收的返回数据同时被计入免费流量。通过VPN方式进行免费上网被用户称作“云免”。

详细说明:

正如前段时间小极白客所提交的计费漏洞中说道,运营商为了给客户提供方便,提供了优惠政策,如:接收彩信、登陆掌厅免除流量费以及免收取流量费的其他业务。用户通过Squid+OpenVPN自身的HTTP代理自定义服务器http请求头信息为运营商网站,当系统检测到请求头属于访问运营商网站的数据,用户即可达到免费上网的目的。

以下是某地区中国移动用户使用的免流量上网的代理方式(这段代码使用率惊人,通过POST,GET等提交提交/获取数据,并把host定义为运营商网站)

code 区域


最后编辑:
作者:欧阳
欧阳
设计界的一只猿|平面设计|创意|WEB安全|互联网

留下一个回复

你的email不会被公开。