Iako se tipični postupak penetracijskog testa može donekle razlikovati od osobe do osobe, postoje neke opće smjernice koje mogu učiniti proces lakšim i učinkovitijim. Testiranje penetracije obično počinje opsežnim planiranjem kako bi se odredio cilj testiranja i kako će se ono provesti. Iz ovog plana može započeti stvarno testiranje, koje obično uključuje skeniranje i mapiranje mreže, pokušaje dobivanja lozinki s mreže i napade na mrežu kako bi se pokazalo kako se slabosti mogu iskoristiti. Nakon što su ti testovi gotovi, standardni postupak penetracijskog testa obično uključuje izradu dokumentacije i izvješća o rezultatima testa.
Procedura penetracijskog testa odnosi se na proces kojim netko može izvršiti testiranje penetracije na računalnoj mreži. Ovaj postupak obično počinje planiranjem testa, često s timom zaposlenika i uprave za informacijsku sigurnost. Faza planiranja koristi se kako bi se odredilo što je cilj testiranja u cjelini i kako bi se testovi trebali izvesti. Ova je faza vrlo važna, jer može olakšati ostatak testiranja, a testerima daje priliku da se uvjere da razumiju metode koje smiju ili se od njih očekuju koristiti.
Nakon što se izradi plan za uspostavljanje cjelokupnog postupka, test može započeti. To obično počinje skeniranjem i mapiranjem mreže od strane testera kako bi potražio slabosti koje on ili ona može koristiti. Postoji niz softverskih programa koji se mogu koristiti za ovaj dio procesa, koji mogu pomoći testeru da iscrta mrežu i identificira potencijalna iskorištavanja i ranjivosti unutar nje.
Nakon što se pronađu ove slabosti, tada postupak testa penetracije obično uključuje napad na sustav kako bi se utvrdilo koliko je on zapravo ranjiv. Testeri često pokušavaju dobiti pristup lozinkama iz sustava kombinacijom metoda, uključujući razbijanje lozinki i društveni inženjering. Krekiranje je proces kojim netko pomoću računalnog softvera pokušava odrediti lozinku, dok društveni inženjering uključuje metode kojima napadač pokušava prevariti zaposlenika da otkrije lozinku. Kako tester dobije različite informacije, on ili ona može nastaviti s napadom i pokušati pristupiti sustavu neovlaštenim putem.
Nakon što je testiranje završeno, tada standardni postupak penetracijskog testa obično nalaže izradu izvješća i dokumentacije u vezi s testom. To bi trebalo slijediti plan postavljen tijekom prve faze testiranja i pružiti informacije uključujući ono što je otkriveno tijekom testiranja. Izvješća bi trebala pružiti jasne informacije rukovoditeljima tvrtke o važnosti promjena koje je potrebno napraviti kako bi se poboljšala sigurnost, te detaljne informacije za sigurnosne timove u tvrtki sa savjetima o tome kako implementirati te promjene.