Tijdens het uitvoeren van de volgt in grote lijnen de volgende stappen:

1. vaststellen van vereisten en scoping
2. uitvoeren van scans
3. analyseren van bedreigingen en kwetsbaarheden
4. rapporteren van bevindingen

Stap 1: vaststellen van vereisten en scoping
De verwachtingen van beide partijen worden besproken en er worden afspraken gemaakt betreffende het uitvoeren van de test(s). De benodige vereisten zoals de contactgegevens en het bereik van de worden vastgesteld.

Stap 2: uitvoeren van scans
In deze fase worden automatische scans uitgevoerd die op het doelwit van toepassing zijn. Bijvoorbeeld:

• Het identificeren van aangeboden diensten en de daarbij gebruikte software fingerprinten.
• Het maken van een basic oppervlakte scan om bekende kwetsbaarheden in de gebruikte software en protocollen op te sporen. Tijdens een basic scan worden ontdekte 'gaten' in de beveiliging door ons niet geexploiteerd.
• Het testen op veel voorkomende, bekende configuratiefouten in de software. Dit zijn met name instellingen op het gebied van authenticatiemechanismen, toegangsrechten en encryptie. Configuratiefouten in zelf ontwikkelde of exotische software vallen hier niet onder.

Stap 3: analyseren van kwetsbaarheden
Op basis van de verzamelde informatie worden potentiële kwetsbaarheden geïndexeerd. De kwetsbaarheden worden geanalyseerd om overduidelijke false positives er uit te filteren (niet alle scans produceren automatisch betrouwbare resultaten).

Stap 4: rapporteren van bevindingen
Na afronding van de analyse wordt een rapport opgeleverd waarin onze stapsgewijze benadering, de resultaten en gevonden kwetsbaarheden worden beschreven. Het rapport dat oplevert bevat geen management samenvatting; voegt deze zelf toe.

Na het doorlopen van bovengenoemde stappen kan een goed beeld schetsen van de beveiligingsstatus van het doelwit. Een echte aanvaller zou \ deze analyse uitvoeren voordat een daadwerkelijke aanval wordt gepleegd. Het resultaat van deze scan kan niet worden gebruikt om aan te tonen of aan bepaalde security certificeringen is voldaan. Het resultaat uit een penetratietest kan daar wel voor worden gebruikt. Bij een penetratietest wordt gebruik gemaakt van de gevonden exploits om dieper liggende kwetsbaarheden in kaart te brengen. Een pentest kan daarom worden gezien als de daadwerkelijke aanval op het systeem.