1、通过burp 抓取数据,查看http请求头是否有x-forwarded-for,简称xxf头,代表客户端真实ip,通过修改其中的ip值伪造客户端ip
2、可以通过在xff里面用and 1=1,and 1=2进行测试查看是否有数据传参, 存在sql注入,从而进行union注入