滲透測試的價(jià)值在于其能檢測到系統(tǒng)在最終真實(shí)環(huán)境中的運(yùn)行情況，發(fā)現(xiàn)實(shí)際環(huán)境和配置給目標(biāo)系統(tǒng)運(yùn)行帶來的安全問題，以及目標(biāo)系統(tǒng)的安全隱患是否能真正被黑客成功利用。

滲透測試會(huì)使用多種網(wǎng)絡(luò)安全工具，自動(dòng)化的滲透測試平臺(tái)也逐漸出現(xiàn)，比較著名的包括IMPACT、CANVAS和Metasploit。其中，Metasploit為開放源代碼、可自由獲取的開發(fā)框架，它集成了各平臺(tái)上常見的溢出漏洞和流行的Sllellcorle，并且不斷更新。利用這些自動(dòng)化測試平臺(tái)，能實(shí)現(xiàn)系統(tǒng)漏洞的自動(dòng)化探測，提高測試的效果。

值得注意的是，開展?jié)B透測試，還必須注意兩點(diǎn)：

(1)它是非破壞性測試

與真正的攻擊不同，滲透測試的目的在于對(duì)目標(biāo)系統(tǒng)進(jìn)行安全性評(píng)估，而不是摧毀或破壞目標(biāo)系統(tǒng)，因此滲透測試應(yīng)當(dāng)采用可控制、非破壞性的方法。由于在實(shí)際的滲透測試過程中，存在不可預(yù)知的風(fēng)險(xiǎn)，所以在滲透測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便在出現(xiàn)問題時(shí)，可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)。