En ce qui concerne la distinction entre l'analyse des vulnérabilités et les tests d'intrusion, il existe une certaine confusion dans le secteur, et leur signification et leurs implications sont très différentes. Normalement, une évaluation des vulnérabilités identifie et signale les vulnérabilités constatées, mais un test d'intrusion tente d'exploiter ces vulnérabilités pour déterminer si un accès non autorisé ou d'autres activités malveillantes sont possibles. En général, les tests d'intrusion comprennent des tests d'intrusion dans le réseau et des tests de sécurité des applications, ainsi que des contrôles et des processus autour des réseaux et des applications, et doivent être effectués à la fois depuis l'extérieur du réseau en essayant d'y pénétrer (tests externes) et depuis l'intérieur du réseau. Fondamentalement, un test d'intrusion manuel ajoute l'expertise humaine à des logiciels et outils professionnels de test d'intrusion, tels que l'analyse binaire statique automatisée et l'analyse dynamique automatisée, lors de l'évaluation d'applications à haut niveau de sécurité. Un test d'intrusion manuel couvre de manière exhaustive les classes de vulnérabilités standard, ainsi que d'autres risques liés à la conception, à la logique métier et aux failles composées qui ne peuvent être détectés que par des tests manuels.