Questo servizio rappresenta una simulazione di attacco particolarmente approfondita. Può essere dedicata ad applicativi proprietari sviluppati dal cliente, da fornitori terzi o a software poco diffusi commercialmente oppure, semplicemente, in situazioni in cui si desideri un livello di sicurezza molto elevato.

Dovrebbe rappresentare una delle tappe obbligate nel processo di deployment di nuovi software ed apparecchiature; sfortunatamente non tutti i vendor condividono quest'opinione.

Il test di una applicazione può essere eseguito secondo due modalità distinte: blackbox e whitebox.

La modalità blackbox si fonda sul presupposto che il tester non conosca alcuna specifica del funzionamento interno dell'applicazione da testare. Questo costringe ad una analisi che si basi sul comportamento del software, piuttosto che su una verifica del suo funzionamento, appannaggio della modalità whitebox.

Questa infatti serve per testare applicazioni di cui si conoscano parzialmente o in toto gli internal al fine di verificarne il funzionamento strutturale.

Quasi sempre, per ottenere risultati significativi da un punto di vista sia quantitativo che qualitativo, è necessario sottoporre ad entrambe le modalità l'applicazione da esaminare.