HTTP Header 注⼊

实质上是一种报错注入，看能否报出路径，可以的话就写webshell. 不行的话就试试爆用户名和密码

在测试补天SRC的时候，数据不要超过五条？一般有个一两条就行

基本步骤：

　　　1.通过burpsuite抓包，发送至repeater并使用单引号法判断user-agent字段存在注入

　　　2.带入报错语句求得版本号5.5.53

 

　　　3.求得数据库名为security

　　

 

　　4.求得数据库表名f分别为emails，referers,uagents,users

 

 

 5.获得users表的列名分别为id，username，password

 

 6.获取数据