Ocena bezpieczeństwa wskazanego celu (serwera, grupy serwerów bądź sieci) polegająca na próbie przełamania jego zabezpieczeń.
Test penetracyjny stanowi kontrolowaną próbę przełamania zabezpieczeń serwera, grupy serwerów bądź też komputerów sieci lokalnej. Wykonywany jest przeważnie w metodologii graybox, tj. gdy pentester posiada pewne, ale nie kompletne informacje o atakowanym obiekcie. Sposób ten pozwala lepiej odwzorować scenariusz prawdziwego ataku. W odróżnieniu jednak od niego ukierunkowany jest na znalezienie wszystkich podatności infrastruktury, a nie tylko – jak w przypadku realnego ataku – jednej bądź połączenia kilku.
Test penetracyjny nie obejmuje analizy bezpieczeństwa poszczególnych aplikacji testowanej infrastruktury w takim stopniu, jak robi to usługa ich audytu. Kompletny test penetracyjny składa się z następujących etapów:
- Zbieranie informacji – zebranie informacji o testowanym obiekcie w oparciu o Internet.
- Mapowanie sieciowe – analiza sieci komputerowej testowanego obiektu.
- Identyfikacja podatności – poszukiwanie podatności w oparciu o uzyskane informacje.
- Penetracja – uzyskanie nieautoryzowanego dostępu do systemu.
- Eskalacja uprawnień – próba podniesienia uprawnień i poszerzenia zasięgu dostępu do infrastruktury.
- Dalsza penetracja – uzyskanie dodatkowych informacji o systemie, np. działające procesy, w celu umożliwienia dalszego przełamywania zabezpieczeń poszczególnych składników systemu.
- Kompromitacja zdalnych użytkowników i aplikacji – przełamanie relacji zaufania i bezpiecznej komunikacji pomiędzy zdalnymi użytkownikami a atakowanym systemem.
- Utrzymanie dostępu – użycie ukrytych kanałów, tylnych furtek, rootkitów i innych narzędzi pozwalających na ukrycie obecności pentestera w systemie oraz na zapewnienie ciągłego dostępu do systemu do czasu zakończenia testu.
- Usuwanie śladów – eliminacja wszystkich śladów działania w postaci plików, logów, testów integralności systemu, systemów antywirusowych itp., świadczących o przeprowadzonym ataku.