Я читал о тестировании на обход каталога на этом веб-сайте: https://wiki.owasp.org/index.php/Testing_Directory_traversal/file_include_ (OTG-AUTHZ-001)
И в конце написано
Проверка на наличие недостатка достигается с помощью:
file=....//....//boot.ini
file=....\\....\\boot.ini
file= ..\..\boot.ini
Но что на самом деле дает ....\\ or ..../? Метод Javas URI "normalize ()" не заботится об этом, и когда я пробую его на машине Windows, ничего не происходит.