Un test di penetrazione include più aspetti importanti,
A) Prima del test di penetrazione, la Società (A) e la Società (P-T) devono definire i limiti, cosa deve essere testato, cosa, come, dove, quando. A volte, la società (A) fornisce un laptop di prova, con gli strumenti richiesti dal Penetration Tester. Vengono creati documenti legali per garantire la sicurezza di entrambe le società.
B) Seguendo i documenti legali, e il tipo di test di penetrazione richiesto dalla società (A), e quello offerto dalla Società (P-T), il penetration tester andrà passo dopo passo a trovare difetti nel sistema.
Ad esempio, a Penetration Tester potrebbe essere richiesto di seguire una metodologia specifica come ISSAF o OWASP, OSSTMM, NIST in base ai requisiti della Società (A). Alcune aziende (P-T) hanno anche le proprie metodologie specifiche con cui lavorare.
Alcune aziende potrebbero chiedere al tester di penetrazione di sfruttare le vulnerabilità, mentre altre potrebbero chiedere al tester di penetrazione solo consigli su eventuali vulnerabilità, tutto dipende dalle loro esigenze. (Avere il passo "exploit", è sempre meglio, ma a volte dovrebbe essere evitato, in casi particolari)
Un test di penetrazione dovrebbe sempre essere fatto da qualcuno che sa cosa sta facendo, spesso alcune aziende cercano di replicare i test di penetrazione e hanno problemi a causa della loro mancanza di conoscenza (strumenti, impatto ecc.), dovrebbero sempre essere un documento legale , una metodologia appropriata e in alcuni casi un supervisore.