我不确定这是一个只能发帖的论坛还是也可以提问的论坛?无论如何,在我不久前正在处理的BBP 中有这个目标,如果我在这个登录表单上没记错的话,其中有一个GET 和一个POST 请求,在那里我发现了一个通常不存在的授权令牌/cookie,我找到了它用另一种方式。如果您在令牌+ 域中写入任何内容,它将仅解析该域并对其进行DNS 查找。起初我是Letsgo 盲命令注入,但过了一会儿我注意到你可以输入任何内容,它只会解析域并执行DNS 查找。所以我的理论是,这可能是一个盲目的SSRF 被报告,所以他们删除了令牌并限制防火墙阻止HTTP 请求,或者它用于跟踪用户?您可以输入xxx! ”??–xxx 域名.com xxxx$!,;xxx 并且它只解析域。大家对于这个隐藏的代币有什么看法呢?也许值得再次投入一些时间?