攻击和渗透方法是对测试范围内的资产进行全面，可重复和可审计的评估。这种测试方法通过模拟黑客入侵的方式识别Web应用程序相关的安全漏洞，并提供解决此类漏洞的建议。渗透测试通过以下六个步骤进行：
编号 测试步骤
1 确定有关目标Web应用程序的详细信息
2 抓取目标Web应用程序并识别用户输入字段
3 了解正在运行的应用程序和服务
4 识别应用程序/操作系统的漏洞
5 验证漏洞，并且确定漏洞的风险
6 总结单个漏洞的风险和评级