軟件介紹：
Apusic Application Server1.0是Apusic公司開(kāi)發(fā)出的中國(guó)第一個(gè)完整支持J2EE(Java 2 Platform, Enterprise Edition)的產(chǎn)品。Apusic采用純Java語(yǔ)言編寫(xiě)，支持EJB1.1，Servlet，JSP，JMS等，支持多種平臺(tái)。

漏洞描述：
Jsp愛(ài)好者網(wǎng)站(http://jspbbs.yeah.net)在試用apusic server1.0產(chǎn)品中發(fā)現(xiàn)了一個(gè)可以泄漏jsp源代碼的漏洞。

適用平臺(tái)：
Windows Nt/2000 + Apusic Application Server1.0

詳細(xì)描述：
在訪(fǎng)問(wèn)JSP頁(yè)面時(shí)，如果在請(qǐng)求URL的.jsp后綴后面加上一或多個(gè)'.'，會(huì)泄露JSP源代碼。
http://localhost:8080/index.jsp 服務(wù)器會(huì)正常解釋。
http://localhost:8080/index.jsp. 只要在后面加上一個(gè).就會(huì)導(dǎo)致源代碼泄漏(可以通過(guò)瀏覽器的查看源代碼看到)。

原因：
由于Windows在處理文件名時(shí)，將"index.jsp"和"index.jsp."認(rèn)為是同一個(gè)文件。

解決方法：
我們已經(jīng)聯(lián)系了apusic公司，apusic公司現(xiàn)已更正這一漏洞，將很快發(fā)布補(bǔ)丁程序。
請(qǐng)隨時(shí)留意apusic公司主頁(yè)http://www.apusic.com發(fā)布的補(bǔ)丁程序信息。

后記：
我們對(duì)apusic服務(wù)器1.0版本進(jìn)行了其它測(cè)試，發(fā)現(xiàn)目前APUSIC不存在其他多個(gè)應(yīng)用服務(wù)器中發(fā)現(xiàn)的漏洞，如jsp后綴大小寫(xiě)，url插入/file/漏洞，以及%2E、%81等等漏洞，可能是由于apusic服務(wù)器軟件發(fā)布比較晚的原因，所以特別注意了國(guó)外其他jsp服務(wù)器軟件的漏洞問(wèn)題。