Ein Penetrationstest wird umgangssprachlich auch als Pentest bezeichnet. Penetrationstests sin eine Komponente eines umfassenden Sicherheitsaudits. Ein Pentest sollte nicht mit einem automatisierten Schwachstellen-Scan verwechselt werden.
Penetrationstests sind eine Methode zur Analyse der Sicherheit von IT-Systemen. Ziel ist es, die Schutzmaßnahmen eines IT-Systems zu verifizieren. Dazu wird versucht die Sicherheitsmaßnahmen des Zielsystems auszuhebeln. Es werden dieselben Werkzeuge und Techniken angewendet, die ein Angreifer verwendet. Das Ergebnis eines Penetrationstests ist eine Liste von Schwachstellen. Um die Priorisierung der identifizierten Schwachstellen zu erleichtern, wird jedem Befund eine technische Risikobewertung zugeordnet. Die zugrunde liegenden Faktoren sind die drei Kernaspekte der Informationssicherheit: Vertraulichkeit, Verfügbarkeit, Integrität. Eine gängige Methode zur Durchführung von Risikobewertungen ist das Common Vulnerability Scoring System (CVSS).
Je nach Umfang werden Penetrationstests weiter unterschieden. Basierend auf dem zugrunde liegenden Pentest-Typ können verschiedene Testmethoden und -ansätze angewendet werden. Einige häufig genannte Stellen und Terminologien sind: