本发明公开了一种渗透测试方法及装置。其中，该方法包括：确定识别到的计算机服务的服务类型；在服务类型为web服务时，启动网络爬虫爬取web服务的目标页面；通过服务识别模型对目标页面进行服务识别，以得到与目标页面关联的至少一个第一服务；通过将目标页面与第一指纹库进行匹配，以得到与目标页面关联的至少一个第二服务；根据至少一个第一服务和至少一个第二服务确定需要进行渗透测试的目标服务列表；根据目标系统的系统特征、漏洞信息和漏洞扫描防御信息确定攻击路径；根据攻击路径对目标服务列表中的服务进行渗透测试，并得到渗透测试结果。本发明解决了相关技术中传统的渗透测试方式无法发现所有的风险点，存在安全隐患的技术问题。