Een penetratietest is vaak een onderdeel van een audit. Het netwerk en de systemen, zoals firewalls, webservers en mail servers, van een organisatie worden aangevallen op een manier zoals een hacker dat ook zou doen.

Een penetratie test bestaat globaal gezien uit twee delen: een quick scan en een een uitgebreide test met diepgang. Tijdens de quick scan wordt met diverse automatische tools gezocht naar bekende kwetsbaarheden. Eenvoudig te vinden en te gebruiken exploits voor gevonden kwetsbaarheden worden uitgevoerd.

In het tweede deel wordt niet alleen gezocht naar bekende kwetsbaarheden, maar ook naar minder bekende kwetsbaarheden of combinaties van kwetsbaarheden. Exploits en eenvoudige DOS aanvallen worden gebruikt om toegang te verkrijgen tot de systemen of om deze systemen uit te schakelen. Eventueel worden intern ontwikkelde tools ingezet.