范世强的笔记（SEC-fsq）

摘要： 测试任意文件读取漏洞是需要在url中加上 ../../ 之类的字符，但是如果使用三方库Apache httpclient或okhttp，他们都会自动删除url中的 ../ ,通过修改okhttp的源码可以防止此删除，具体修改如下 修改 HttpUrl.Builder 类的 push方法，注释如下代码 阅读全文