摘要： 实质上是一种报错注入，看能否报出路径，可以的话就写webshell. 不行的话就试试爆用户名和密码 在测试补天SRC的时候，数据不要超过五条？一般有个一两条就行 基本步骤： 1.通过burpsuite抓包，发送至repeater并使用单引号法判断user-agent字段存在注入 2.带入报错语句求得 阅读全文