Una prueba de penetración incluye múltiples aspectos importantes,
A) Antes de la prueba de penetración, la Compañía (A) y la Compañía (P-T) deben definir los límites, qué se debe probar, qué, cómo, dónde, cuándo. A veces, la compañía (A) proporciona una computadora portátil de prueba, con herramientas solicitadas por el comprobador de penetración. Se crean documentos legales, para garantizar la seguridad de ambas empresas.
B) Siguiendo los documentos legales y el tipo de pruebas de penetración solicitadas por la compañía (A) y la ofrecida por la Compañía (P-T), el probador de penetración irá paso a paso para encontrar fallas en el sistema.
Por ejemplo, se le puede pedir a un comprobador de penetración que siga una metodología específica como ISSAF u OWASP, OSSTMM, NIST siguiendo los requisitos de la Compañía (A). Algunas compañías (P-T) también tienen metodologías propias y específicas para trabajar.
Algunas compañías pueden pedirle al probador de penetración que explote las vulnerabilidades, mientras que otras pueden solo pedirle al probador de penetración que le recomiende posibles vulnerabilidades, todo depende de sus necesidades. (Tener el paso "explotar" siempre es mejor, pero a veces se debe evitar, en casos particulares)
Una prueba de penetración siempre debe ser realizada por alguien que sepa lo que está haciendo, a menudo algunas compañías intentan replicar las pruebas de penetración y tienen problemas debido a su falta de conocimiento (herramientas, impacto, etc.), siempre debe ser un documento legal , una metodología adecuada, y en algunos casos un supervisor.