滲透測試是在具有安全授權的情況下，模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試，黑客的入侵和攻擊需要利用目標系統的安全漏洞和弱點，滲透測試采用同樣的測試原理、方法、工具和路徑，所以可以最大程度的模擬真實黑客入侵的過程，黑客攻擊的目的是竊取和破壞，而滲透測試的目的是提前于攻擊者發現系統隱患，封堵漏洞，由于滲透測試采用可控的、非破壞性質的工具和方法，因此在驗證安全性問題的同時不會對被測系統造成負面影響。在滲透測試結束后，系統將基本保持一致。

·             注入缺陷（如SQL、LDAP、OS指令、XPath、XQuery、XSLT、XML）

·             業務邏輯漏洞

·             跨站腳本攻擊(XSS)

·             跨站請求偽造(CSRF)

·             身份驗證或會話管理不當

·             訪問控制不當

·             缺少加密技術或加密算法使用不當

·             由于錯誤信息導致信息暴露

·             重定向開放

·             無法限制URL訪問

·             不安全的直接對象應用或路徑遍歷

·             服務器配置錯誤

·             防火墻規則設定分析