Tipik penetrasyon testi prosedürü bir kişiden diğerine biraz değişebilse de, işlemi daha kolay ve etkili hale getirebilecek bazı genel kurallar vardır. Penetrasyon testi genellikle testin amacını ve nasıl yürütüleceğini belirlemek için kapsamlı planlama ile başlar. Bu plandan, genellikle ağ taraması ve haritalamayı içeren, ağdan parola kazanma girişimlerini ve zayıflıkların nasıl kullanılabileceğini göstermek için ağa yapılan saldırıları içeren gerçek test başlayabilir. Bu testler tamamlandıktan sonra, standart penetrasyon testi prosedürü genellikle testin sonuçlarına ilişkin dokümantasyon ve raporların oluşturulmasını içerir.
Bir penetrasyon testi prosedürü, birinin bir bilgisayar ağında penetrasyon testi yapabildiği işlemi belirtir. Bu prosedür genellikle testi planlama, genellikle de bilgi güvenliği çalışanları ve yönetimi ekibiyle başlar. Planlama aşaması, testin amacının bir bütün olarak ne olduğunu ve testlerin nasıl yapılması gerektiğini belirlemek için kullanılır. Bu aşama testin geri kalanını daha kolay hale getirebileceği için oldukça önemlidir ve test uzmanlarına kullanmaları için izin verilen veya kullanmaları beklenen yöntemleri anlamalarını sağlamak için bir şans verir.
Genel bir penetrasyon testi prosedürü oluşturmak için bir plan oluşturulduktan sonra test başlayabilir. Bu genellikle kullanabileceği zayıflıkları bulmak için test cihazı tarafından ağın taranması ve haritalanması ile başlar. Sürecin bu kısmı için kullanılabilecek bir dizi yazılım programı vardır ve bu da test cihazının ağı tespit etmesine ve içindeki açıkları ve açıkları tespit etmesine yardımcı olabilir.
Bu zayıflıklar bulunduktan sonra, bir penetrasyon testi prosedürü genellikle ne kadar savunmasız olduğunu görmek için sisteme bir saldırı içerir. Test edenler sıklıkla sistemden gelen şifrelere şifre kırma ve sosyal mühendislik de dahil olmak üzere çeşitli yöntemlerle erişmeye çalışırlar. Çatlama, birinin şifre belirlemeye çalışmak için bilgisayar yazılımı kullandığı bir süreçtir, sosyal mühendislik ise bir saldırganın bir çalışanı bir şifreyi ifşa etmesi için kandırmaya çalıştığı yöntemler içerir. Test cihazı tarafından farklı bilgiler edinildiği için, saldırıya devam edebilir ve yetkisiz araçlarla sisteme erişmeye çalışabilir.
Test tamamlandığında, standart bir penetrasyon test prosedürü genellikle testle ilgili raporların ve dokümantasyonların üretilmesini belirler. Bu, testin ilk aşamasında belirlenen planı takip etmeli ve test sırasında neyin keşfedildiğini içeren bilgiler sağlamalıdır. Raporlar, şirket yöneticilerine, güvenliği artırmak için yapılması gereken değişikliklerin önemi hakkında net bilgi sağlamalı ve şirketteki güvenlik ekipleri için bu değişikliklerin nasıl uygulanacağı konusunda tavsiyelerle ilgili ayrıntılı bilgiler sağlamalıdır.
