Chociaż typowa procedura testu penetracyjnego może się nieco różnić w zależności od osoby, istnieją pewne ogólne wytyczne, które mogą uczynić ten proces łatwiejszym i bardziej efektywnym. Testy penetracyjne zwykle rozpoczynają się od obszernego planowania, aby określić cel testowania i sposób jego wykonania. Z tego planu można rozpocząć rzeczywiste testy, które zwykle obejmują skanowanie i mapowanie sieci, próby uzyskania haseł z sieci oraz ataki na sieć, aby zademonstrować, w jaki sposób można wykorzystać słabości. Po zakończeniu tych testów standardowa procedura testów penetracyjnych zwykle obejmuje tworzenie dokumentacji i raportów dotyczących wyników testu.
Procedura testu penetracyjnego odnosi się do procesu, w którym ktoś może przeprowadzić testy penetracyjne w sieci komputerowej. Procedura ta zwykle rozpoczyna się od zaplanowania testu, często z udziałem zespołu pracowników i kierownictwa ds. bezpieczeństwa informacji. Etap planowania służy do określenia, jaki jest cel testowania jako całości i jak testy powinny być wykonywane. Ten etap jest dość ważny, ponieważ może ułatwić resztę testowania i daje testerom szansę na upewnienie się, że rozumieją metody, z których mogą lub których mają korzystać.
Po utworzeniu planu w celu ustalenia ogólnej procedury można rozpocząć test. Zwykle zaczyna się to od skanowania i mapowania sieci przez testera w celu wyszukania słabych punktów, które może wykorzystać. Istnieje wiele programów, które można wykorzystać w tej części procesu, co może pomóc testerowi w mapowaniu sieci i identyfikowaniu w niej potencjalnych exploitów i luk w zabezpieczeniach.
Po znalezieniu tych słabych punktów, procedura testu penetracyjnego zwykle obejmuje atak na system, aby sprawdzić, jak naprawdę jest podatny. Testerzy często próbują uzyskać dostęp do haseł z systemu za pomocą kombinacji metod, w tym łamania haseł i socjotechniki. Łamanie to proces, w którym ktoś używa oprogramowania komputerowego do próby ustalenia hasła, podczas gdy socjotechnika obejmuje metody, za pomocą których atakujący próbuje nakłonić pracownika do ujawnienia hasła. Ponieważ tester zdobywa różne informacje, może on kontynuować atak i próbować uzyskać dostęp do systemu za pomocą nieautoryzowanych środków.
Po zakończeniu testów standardowa procedura testów penetracyjnych zwykle nakazuje tworzenie raportów i dokumentacji dotyczącej testu. Powinno to być zgodne z planem określonym podczas pierwszego etapu testowania i dostarczać informacji, w tym tego, co zostało odkryte podczas testowania. Raporty powinny zawierać jasne informacje dla kadry kierowniczej firmy dotyczące znaczenia zmian, które należy wprowadzić w celu poprawy bezpieczeństwa, a także szczegółowe informacje dla zespołów ds. bezpieczeństwa w firmie wraz z poradami, jak wdrożyć te zmiany.