在渗透测试开始之前，测试团队和企业会设定测试范围。 这个范围规定将测试哪些系统、何时进行测试以及渗透测试人员可以使用的方法。 范围还确定渗透测试人员可以提前获得多少信息：

在黑盒测试中，渗透测试人员没有关于目标系统的任何信息。 他们必须依靠自己的研究，制定攻击计划，就像现实世界中的黑客一样。  

在白盒测试中，目标系统对渗透测试人员完全透明。 企业会分享诸如网络图、源代码、凭证之类的详细信息。  

在灰盒测试中，渗透测试人员会获取一些信息，但不多。 例如，企业可能会分享网络设备的 IP 范围，但渗透测试人员必须自行探测这些 IP 范围以便找到漏洞。

设定范围后，测试开始。 渗透测试人员可能采用若干渗透测试方法。 常用的方法包括 OWASP 的"应用安全测试指南"（链接位于 IBM.com 外部）、"渗透测试执行标准"(PTES)（链接位于 IBM.com 外部）以及美国国家标准技术学会 (NIST) 的 SP 800-115 标准（链接位于 IBM.com 外部）。

无论测试团队使用哪种方法，流程通常都会遵循相同的总体步骤。

测试团队收集有关目标系统的信息。 渗透测试人员根据目标使用不同的侦察方法。 例如，如果目标是应用，渗透测试人员可能会研究它的源代码。 如果目标是整个网络，渗透测试人员可能会使用数据包分析器来检测网络流量。

渗透测试人员通常还会利用开源情报 (OSINT)。 通过阅读公开的文档、新闻报道，甚至员工的社交媒体和 GitHub 帐户，渗透测试人员可以收集有关其目标的宝贵信息。

渗透测试人员利用他们在侦察步骤中所获得的信息，确定系统中可以加以利用的漏洞。 例如，渗透测试人员可能会使用 Nmap 等端口扫描器，寻找可用于发送恶意软件的开放端口。 对于社会工程渗透测试，测试团队可能会编造一个虚假的故事或者"借口"，在网络钓鱼电子邮件中使用这些信息以窃取员工的凭证。

在这个步骤中，渗透测试人员可能会检查安全功能如何对入侵做出反应。 例如，他们可能会将可疑的流量发送到企业的防火墙，看看会发生什么。 渗透测试人员将使用他们了解到的信息，在测试余下的过程中避免被检测到。

测试团队开始发动实际的攻击。 渗透测试人员可能会尝试各种攻击，具体取决于目标系统、他们发现的漏洞以及测试的范围。 一些最常测试的攻击包括：

SQL 注入：渗透测试人员通过在输入字段中输入恶意代码，尝试让网页或应用披露敏感数据。  

跨站脚本：渗透测试人员尝试在企业的网站中植入恶意代码。  

拒绝服务攻击：渗透测试人员尝试传入巨大的流量，让服务器、应用和其他网络资源下线。  

社会工程：渗透测试人员使用网络钓鱼、诱饵、借口或其他手段，诱骗员工泄露网络安全机密信息。  

蛮力攻击：渗透测试人员通过运行脚本以生成和检验可能的密码直至成功，尝试破解系统。  

中间人攻击：渗透测试人员解读两个设备或用户之间的流量，以窃取敏感信息或植入恶意软件。

渗透测试人员利用漏洞侵入系统之后，他们会尝试扩大战果，访问更多资源。 这个阶段有时称为"漏洞链"，因为渗透测试人员从漏洞移至漏洞，更深入地侵入网络。 例如，他们可能首先在员工的计算机上植入击键记录器。 通过使用击键记录器，可以捕获员工的凭证。 使用这些凭证，他们可以访问敏感的数据库。

在这个阶段，渗透测试人员的目标是保持访问和提升特权，同时规避安全措施。 渗透测试人员所做的这一切都是在模仿高级持久性威胁 (APT)，这种攻击在被捕捉到之前可在系统中潜伏数周、数月甚至数年。

在模拟攻击结束时，渗透测试人员会清除他们留下的所有痕迹，例如植入的后门木马或更改的配置。 这样，现实世界中的黑客就无法利用渗透测试人员的漏洞来入侵网络。

然后，渗透测试人员准备有关攻击的报告。 报告通常会概述他们发现和利用的漏洞、有关如何规避安全功能的详细信息，以及他们在系统内部所执行操作的描述。 该报告还可能包括有关漏洞补救措施的具体建议。 内部安全团队可使用这些信息，加强针对现实世界攻击的防御。