摘要： 正常发包 没有发现xff 参数 发现登陆成功就可以发现正常有显示 user-agent的信息 user-agent 存在注入点，使用报错注入 。注意user-agent 无法用--+ 进行语句闭合，用# 或者 and 1='1 进行闭合 payload: 'and extractvalue(1,co 阅读全文