Čeprav se tipični postopek penetracijskega testa lahko nekoliko razlikuje od osebe do osebe, obstaja nekaj splošnih smernic, ki lahko olajšajo in učinkovitejši postopek. Preizkušanje penetracije se običajno začne z obsežnim načrtovanjem, da se določi cilj testiranja in kako se bo izvajalo. Iz tega načrta se lahko začne dejansko testiranje, ki običajno vključuje skeniranje in preslikavo omrežja, poskuse pridobivanja gesel iz omrežja in napade na omrežje, da se pokaže, kako se lahko izkoristijo slabosti. Po zaključku teh testov standardni postopek penetracijskega testa običajno vključuje izdelavo dokumentacije in poročil o rezultatih testa.
Postopek penetracijskega testa se nanaša na postopek, s katerim lahko nekdo izvede testiranje penetracije v računalniškem omrežju. Ta postopek se običajno začne z načrtovanjem testa, pogosto z ekipo zaposlenih za informacijsko varnost in vodstva. Faza načrtovanja se uporablja za določitev, kaj je cilj testiranja kot celote in kako naj se testi izvajajo. Ta faza je zelo pomembna, saj lahko olajša preostanek testiranja in daje preizkuševalcem možnost, da se prepričajo, da razumejo metode, ki jih smejo ali se pričakujejo uporabljati.
Ko je izdelan načrt za vzpostavitev celotnega postopka, se lahko začne test. To se običajno začne s skeniranjem in preslikavanjem omrežja s strani preizkuševalca, da poišče slabosti, ki jih lahko uporabi. Za ta del postopka je mogoče uporabiti številne programske opreme, ki lahko preizkuševalcem pomagajo načrtovati omrežje in prepoznati morebitne zlorabe in ranljivosti v njem.
Po odkritju teh pomanjkljivosti postopek penetracijskega testa običajno vključuje napad na sistem, da se ugotovi, kako ranljiv je v resnici. Testerji pogosto poskušajo pridobiti dostop do gesel iz sistema s kombinacijo metod, vključno z razbijanjem gesel in socialnim inženiringom. Krekiranje je proces, pri katerem nekdo s pomočjo računalniške programske opreme poskuša določiti geslo, socialni inženiring pa vključuje metode, s katerimi poskuša napadalec pretentati zaposlenega, da razkrije geslo. Ko preizkuševalec pridobi različne informacije, lahko nadaljuje z napadom in poskuša pridobiti dostop do sistema na nepooblaščen način.
Ko je testiranje končano, standardni postopek penetracijskega testa običajno narekuje, da se v zvezi s testom izdelajo poročila in dokumentacija. To bi moralo slediti načrtu, določenemu med prvo fazo testiranja, in zagotoviti informacije, vključno s tem, kar je bilo odkrito med testiranjem. Poročila morajo vodstvenim delavcem podjetja zagotoviti jasne informacije o pomembnosti sprememb, ki jih je treba izvesti za izboljšanje varnosti, in podrobne informacije za varnostne ekipe v podjetju z nasveti, kako te spremembe izvesti.