渗透测试可以帮助确定一个系统是否容易受到攻击，以及在防御系统存在的情况下哪个防御手段可能被突破。测试人员将渗透测试的过程、发现的安全问题、可能造成的影响以及提出降低风险的对策写成渗透测试报告，并向系统的所有者提交。系统所有者根据报告能够清晰知晓系统中存在的安全隐患问题并进行相应的修正。渗透测试需保证采用的攻击手段不能影响业务系统的正常运行。

渗透测试是一个渐进且逐步深入的过程，一般分为漏洞发现和漏洞利用两个阶段。前一阶段通过多种攻击手段发现目标的缺陷，后一阶段通过构造相应的漏洞利用方法获得目标的权限。渗透测试方法主要分为黑盒测试和白盒测试。黑盒测试是指测试人员目标系统未知的情况下对目标系统进行的测试；白盒测试与黑盒测试相反，是指测试员在被测单位的支持下（如提供资料，与员工沟通等）对目标系统进行的测试。自动化的渗透测试工具有Metasploit、Burp Suite和OWASP ZAP等。