由于信息和技术领域的快速发展，渗透测试的成功故事还相对较短。由于需要对系统提供更多保护，因此比执行渗透测试所需的时间更多，以便将成功攻击的可能性降低到公司认可的水平。

以下是渗透测试的主要限制-

• 时间限制-众所周知，渗透测试并非始终受限制。但是，渗透测试专家已经为每次测试分配了固定的时间。另一方面，攻击者没有时间限制，他们计划在一周，一个月甚至几年内进行计划。

• 范围的局限性–许多组织由于自身的局限性(包括资源约束，安全约束，预算约束等)而无法对所有内容进行测试。同样，测试人员的范围也有限，他必须离开系统的许多部分变得更加脆弱，并且可以成为攻击者的完美利基市场。

• 访问限制-测试人员通常对目标环境的访问受到限制。例如，如果一家公司从其整个Internet网络对其DMZ系统进行了渗透测试，但是如果攻击者通过正常的Internet网关进行攻击该怎么办。

• 方法的局限性-目标系统可能会在渗透测试期间崩溃，因此对于专业的渗透测试人员而言，某些特定的攻击方法可能会被关闭。例如，产生拒绝服务洪水，将系统或网络管理员从另一种攻击方法中转移出来，这通常是一个真正的坏蛋的理想策略，但是对于大多数专业渗透测试人员而言，这可能超出了参与规则的范围。 。

• 渗透测试仪技能组合的局限性-通常，专业渗透测试仪的局限性在于他们的技能有限，而与他们的专业知识和过去的经验无关。他们中的大多数人都专注于特定技术并且对其他领域的知识很少。

• 已知漏洞的局限性-许多测试人员仅知道那些公开的漏洞。实际上，他们的想象力并不像攻击者那样发达。攻击者通常会超出测试人员的思维范围，从而发现要攻击的缺陷。

• 实验的局限性-大多数测试人员都是有时间限制的，并遵循其组织或前辈已经给他们的说明。他们不尝试新的东西。他们不会超出给定的指示进行思考。另一方面，攻击者可以自由思考，进行实验，并创建一些新的攻击途径。

此外，渗透测试不能替代常规的IT安全测试，也不能替代常规的安全策略，而是渗透测试补充已建立的审查程序并发现新的威胁。