Testowanie sieci dotyczy systemów operacyjnych, usług, domen i ogólnych topologii sieci. To właśnie o tym myśli większość ludzi, gdy słyszą wyrażenie „testy penetracyjne”. Celem tych testów jest zazwyczaj sprawdzenie środowiska sieciowego i określenie, czy ktoś może się do niego dostać, określenie możliwych ścieżek ataku, jakie może obrać osoba atakująca po wejściu do środka, oraz określenie, jaki będzie wpływ. Tester może być ograniczony do określonego obszaru sieci, np. tylko obwodu sieci, lub może uzyskać dostęp do wnętrza i być ograniczony do określonego obszaru sieci, np. środowiska PCI lub środowiska klienta. Testowanie sieci bada bezpieczeństwo przedsiębiorstwa przez pryzmat infrastruktury sieciowej, protokołów, komunikacji, systemów operacyjnych i innych systemów podłączonych do sieci. Powinien oceniać skuteczność zarządzania poprawkami i lukami w zabezpieczeniach, segmentację sieci, zarządzanie konfiguracją oraz skuteczność kontroli hosta i sieci.