渗透测试的价值在于其能检测到系统在最终真实环境中的运行情况，发现实际环境和配置给目标系统运行带来的安全问题，以及目标系统的安全隐患是否能真正被黑客成功利用。

渗透测试会使用多种网络安全工具，自动化的渗透测试平台也逐渐出现，比较著名的包括IMPACT、CANVAS和Metasploit。其中，Metasploit为开放源代码、可自由获取的开发框架，它集成了各平台上常见的溢出漏洞和流行的Sllellcorle，并且不断更新。利用这些自动化测试平台，能实现系统漏洞的自动化探测，提高测试的效果。

值得注意的是，开展渗透测试，还必须注意两点：

(1)它是非破坏性测试

与真正的攻击不同，渗透测试的目的在于对目标系统进行安全性评估，而不是摧毁或破坏目标系统，因此渗透测试应当采用可控制、非破坏性的方法。由于在实际的渗透测试过程中，存在不可预知的风险，所以在渗透测试前要提醒用户进行系统和数据备份，以便在出现问题时，可以及时恢复系统和数据。