Identyfikacja słabych punktów, które są szczególnie narażone na zagrożenia
Testy aplikacji webowych, mobilnych i desktopowych są przeprowadzane z perspektywy potencjalnego atakującego, korzystając z metod Black Box i Grey Box. Pod pojęciem Black Box rozumiemy testy bez wiedzy o systemie, natomiast Grey Box to testy z częściową znajomością systemu, umożliwiające dostęp do kont i dokumentacji.
Proces testowania jest zgodny z wytycznymi organizacji OWASP, uwzględniając listę najpopularniejszych zagrożeń OWASP Top 10 oraz CWE/SANS Top 25 Weaknesses. W trakcie testów wykorzystywane są także elementy metodyki PTES oraz OSSTMM.