Quando assumi un'azienda per eseguire test delle penne e della vulnerabilità, dovresti firmare e controllare tutto ciò che vuoi testare. Questo fungerà per il tester come una tabella di marcia di ciò che possono testare. Un sacco di pen-test hanno la possibilità di portare giù il server tramite Denial of Service (DOS) o di corrompere / modificare i dati tramite XSS / SQL Injection (SQLI).
Quindi sostanzialmente il contratto firmato per consentire loro di testare il sito web dovrebbe definire e delineare tutto ciò che è stato testato.
L'unico modo per convalidare ciò con "nessun problema" è controllare i log. Dovresti essere in grado di ottenere un IP esterno che hanno usato quando stavano facendo questo test e questo ti aiuterà a restringere quali log devi analizzare in quanto puoi filtrarli da quella fonte.
Spero che questo aiuti!