Cieľom štandardného penetračného testu je odhaliť čo najväčšie množstvo čo najviac kritických zraniteľností vo webovej aplikácii alebo webovom serveri behom 3 dní ako aj odhaliť spôsob ich využitia a prípadnú možnosť získania privilegovaného prístupu.

Test pozostáva z nasledujúcich fáz:

• Zbieranie informácií – o cieľovom systéme sú zozbierané, identifikované a analyzované všetky informácie, vrátane verzie webového serveru, použitých modulov, programovej platformy, WAF a prístupových bodov do aplikácie
• Enumerovanie a mapovanie zraniteľností – pomocou intruzívnych metód a techník (špeciálne skonštruované HTTP žiadosti) sú identifikované potenciálne slabiny (použité sú špeciálne bezpečnostné scannery, „fault-injection proxies“ ako aj manuálne overenie)
• Využitie zraniteľností – pokus o získanie prístupu pomocou zraniteľností identifikovaných v predchádzajúcej fáze. Cieľom je získať používateľský alebo privilegovaný (administrátorsky) prístup do aplikácie alebo operačného systému (použité sú špeciálne „exploit“ skripty a „exploit“ systémy).

Vlastnosti:

• odhaľuje najvážnejšie webové zraniteľnosti (SQL/LDAP injection, XSS/CSRF, pretečenie buffrov, bezpečnostné chyby v biznis logike, obídenie autentizácie, možnosť lokálneho vnorenia súborov)
• vzhľadom k tomu, že je použité manuálne overenie, test je veľmi vhodný aj v situáciách, kedy vaše bezpečnostné scannery zlyhali
• výsledkom je technická správa s manažérskym zhrnutím, všetkými odhalenými zraniteľnosťami a ich príslušnými stupňami rizík ako aj odporúčaniami