网络渗透测试就是利用所有的手段进行测试，发现和挖掘系统中存在的漏洞，然后撰写渗透测试报告，将其提供给客户;客户根据渗透人员提供的渗透测试报告对系统存在漏洞和问题的地方进行修复和修补，本次渗透测试算是针对aspx类型的网站系统的一个补充。下面是整个渗透过程和一些渗透思路，写出来跟大家一起探讨和分享，不到之处请指正。

　　(一)初步的安全渗透测试

　　1.漏洞扫描

　　直接打开JSky Web漏洞扫描器，新建一个扫描任务，输入要扫描的地址http://www.*****.com，然后开始扫描，扫描结果如图1所示，没有任何高危漏洞，通过分析扫描结果，我们知道该网站采用的是Asp.net编写的，无注入漏洞，在扫描结果中存在“admin”和“upload”目录。难道该系统就没有可渗透之处?一般网站非常安全的可能性非常低，只有绝对不安全的系统，没有绝对安全的系统。

　　图1 使用Jsky扫描网站的扫描结果

　　2.网站目录访问测试

　　复制http://www.xxxxxxx.com/admin地址到IE浏览器中，进行测试看看能否实际打开该地址，如图2所示，可以打开而且为管理员后台地址。

　　图2 测试扫描出路径的页面是否存在

　　说明：

　　对存在目录进行实际访问主要是看系统是否存在一些报错等提示信息，然后根据这些信息再次进行分析和利用，为渗透提供一些判断和支持。