Meskipun prosedur uji penetrasi tipikal dapat sedikit berbeda dari satu orang ke orang lain, ada beberapa pedoman umum yang dapat membuat prosesnya lebih mudah dan efektif. Pengujian penetrasi biasanya dimulai dengan perencanaan ekstensif untuk menentukan tujuan pengujian dan bagaimana pengujian itu akan dilaksanakan. Dari rencana ini, pengujian sebenarnya dapat dimulai, yang biasanya mencakup pemindaian dan pemetaan jaringan, upaya mendapatkan kata sandi dari jaringan, dan serangan terhadap jaringan untuk menunjukkan bagaimana kelemahan dapat dimanfaatkan. Setelah pengujian ini selesai, maka prosedur uji penetrasi standar biasanya mencakup pembuatan dokumentasi dan laporan mengenai hasil pengujian.
Prosedur uji penetrasi mengacu pada proses di mana seseorang dapat melakukan pengujian penetrasi pada jaringan komputer. Prosedur ini biasanya dimulai dengan perencanaan pengujian, seringkali dengan tim karyawan dan manajemen keamanan informasi. Tahap perencanaan digunakan untuk menentukan apa tujuan pengujian secara keseluruhan dan bagaimana pengujian harus dilakukan. Tahap ini cukup penting, karena dapat mempermudah pengujian lainnya, dan memberikan kesempatan kepada penguji untuk memastikan bahwa mereka memahami metode yang diizinkan atau diharapkan untuk digunakan.
Setelah rencana dibuat untuk menetapkan prosedur keseluruhan, maka tes dapat dimulai. Ini biasanya dimulai dengan pemindaian dan pemetaan jaringan oleh penguji untuk mencari kelemahan yang dapat dia gunakan. Ada sejumlah program perangkat lunak yang dapat digunakan untuk bagian proses ini, yang dapat membantu penguji memetakan jaringan dan mengidentifikasi potensi eksploitasi dan kerentanan di dalamnya.
Setelah kelemahan ini ditemukan, maka prosedur uji penetrasi biasanya melibatkan serangan terhadap sistem untuk melihat seberapa rentan sebenarnya. Penguji sering mencoba untuk mendapatkan akses ke kata sandi dari sistem melalui kombinasi metode, termasuk peretasan kata sandi dan rekayasa sosial. Cracking adalah proses di mana seseorang menggunakan perangkat lunak komputer untuk mencoba menentukan kata sandi, sementara rekayasa sosial mencakup metode di mana penyerang mencoba mengelabui karyawan agar membocorkan kata sandi. Sebagai informasi yang berbeda diperoleh oleh penguji, maka dia dapat melanjutkan serangan dan mencoba untuk mendapatkan akses ke sistem melalui cara yang tidak sah.
Setelah pengujian selesai, maka prosedur uji penetrasi standar biasanya menentukan bahwa laporan dan dokumentasi dihasilkan mengenai pengujian tersebut. Ini harus mengikuti rencana yang ditetapkan selama tahap pertama pengujian, dan memberikan informasi termasuk apa yang ditemukan selama pengujian. Laporan harus memberikan informasi yang jelas kepada eksekutif perusahaan mengenai pentingnya perubahan yang perlu dilakukan untuk meningkatkan keamanan, dan informasi terperinci untuk tim keamanan di perusahaan dengan saran tentang cara menerapkan perubahan tersebut.