滲透測試的價值在于其能檢測到系統(tǒng)在最終真實環(huán)境中的運行情況，發(fā)現(xiàn)實際環(huán)境和配置給目標系統(tǒng)運行帶來的安全問題，以及目標系統(tǒng)的安全隱患是否能真正被黑客成功利用。

滲透測試會使用多種網(wǎng)絡(luò)安全工具，自動化的滲透測試平臺也逐漸出現(xiàn)，比較著名的包括IMPACT、CANVAS和Metasploit。其中，Metasploit為開放源代碼、可自由獲取的開發(fā)框架，它集成了各平臺上常見的溢出漏洞和流行的Sllellcorle，并且不斷更新。利用這些自動化測試平臺，能實現(xiàn)系統(tǒng)漏洞的自動化探測，提高測試的效果。

值得注意的是，開展?jié)B透測試，還必須注意兩點：

(1)它是非破壞性測試

與真正的攻擊不同，滲透測試的目的在于對目標系統(tǒng)進行安全性評估，而不是摧毀或破壞目標系統(tǒng)，因此滲透測試應(yīng)當采用可控制、非破壞性的方法。由于在實際的滲透測試過程中，存在不可預(yù)知的風險，所以在滲透測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份，以便在出現(xiàn)問題時，可以及時恢復(fù)系統(tǒng)和數(shù)據(jù)。