Alors que la procédure de test de pénétration typique peut varier quelque peu d'une personne à l'autre, il ya quelques règles générales qui peuvent rendre le processus plus facile et plus efficace. Les tests de pénétration commencent habituellement par une planification approfondie afin de déterminer l'objectif du test et de la façon dont il sera exécuté. A partir de ce plan, le test proprement dit peut commencer, qui comprend généralement la numérisation en réseau et de la cartographie, les tentatives de gagner des mots de passe sur le réseau, et les attaques contre le réseau de démontrer comment les faiblesses pourraient être exploitées. Après ces tests sont terminés, puis la procédure standard de test de pénétration comprend généralement la création de la documentation et des rapports concernant les résultats du test.
Une procédure de test de pénétration se réfère au processus par lequel une personne peut effectuer des tests de pénétration sur un réseau informatique. Cette procédure commence généralement avec la planification de l'essai, souvent avec une équipe de collaborateurs sécurité de l'information et de la gestion. La phase de planification est utilisée pour déterminer quel est l'objectif de l'essai dans son ensemble et comment les tests doivent être effectués. Cette étape est très importante, car elle peut faire le reste du test plus facile, et il donne aux testeurs une chance de s'assurer qu'ils comprennent bien les méthodes qu'ils sont autorisés ou prévus à utiliser.
Une fois qu'un plan est créé pour établir une procédure de test de pénétration global, le test peut commencer. Cela commence généralement avec des scans et de la cartographie du réseau par le testeur pour rechercher des faiblesses, il ou elle peut utiliser. Il y a un certain nombre de logiciels qui peuvent être utilisés pour cette partie du processus, ce qui peut aider à la carte contrôleur sur le réseau et d'identifier les exploits potentiels et les vulnérabilités au sein de celui-ci.
Après ces faiblesses sont trouvées, une procédure de test de pénétration implique généralement une attaque sur le système pour voir comment il est vulnérable vraiment. Testeurs essaient souvent d'accéder aux mots de passe du système à travers une combinaison de méthodes, y compris la fissuration de mot de passe et de l'ingénierie sociale. Vapocraquage est un procédé par lequel une personne utilise un logiciel informatique pour essayer de déterminer un mot de passe, tandis que l'ingénierie sociale inclut des méthodes par lesquelles un attaquant essaie de tromper un employé à divulguer un mot de passe. Comme différentes informations est obtenu par le testeur, alors il ou elle peut continuer l'attaque et tenter d'accéder au système par des moyens non autorisés.
Une fois le test terminé, une procédure de test de pénétration standard dicte généralement que les rapports et les documents sont produits en ce qui concerne le test. Cela devrait suivre le plan établi lors de la première étape du test, et fournir des informations, y compris ce qui a été découvert pendant les tests. Les rapports devraient fournir des informations claires aux dirigeants d'entreprise quant à l'importance des changements qui doivent être faits pour améliorer la sécurité et des informations détaillées pour les équipes de sécurité de l'entreprise avec des conseils sur la façon de mettre en œuvre ces changements.