En penetrasjonstest har som hensikt å verifisere resultatene fra en sårbarhetsanalyse, for å finne ut om bedriften faktisk har sårbarhetene og kan være utsatt for angrep som utnytter disse.

Gjennomføringen av en penetrasjonstest vil være av en mer manuell art hvor verktøy (’exploits’) som er utviklet for å utnytte sårbarhetene blir benyttet.

En penetrasjonstest kan også gjennomføres for å teste en bedrifts beredskap i forhold til elektroniske angrep. Et uanmeldt ’angrep’ kan gjennomføres mens beredskapen overvåkes. Slike ’angrep’ vil kunne påvirke bedriftens oppmerksomhet og holdninger til de elektroniske truslene som eksisterer, og vil også kunne fungere som en ’motivasjon’ for de som bemanner beredskapsfunksjonene ved at de ved oppdagelse av ’angrepet’ verifiserer at systemene og eskaleringen fungerer som forventet.