Penetrační testování patří mezi techniky etického hackingu. Jde o testování za účelem nalezení co nejvíce chyb a následného vniknutí do systému. Útok může být směrován jak z vnější sítě (typicky z Internetu) na servery umístěné v DMZ (demilitarizované zóně) nebo na vnější rozhraní firewallu, tak i z vnitřku na síťovou infrastrukturu nebo zranitelné servery.
Průnik z vnitřku do systému může být veden fyzicky přítomným hackerem, kterému se podařilo připojit vlastní počítač do interní sítě nebo získat fyzický přístup k počítači ve vaší síti. Průnik ale může být veden i metodou tzv. “sociálního inženýrství průniku“, kdy hacker zneužije důvěřivosti uživatele či použije jinou netechnickou metodu a tím získá přístup, který mu samozřejmě nenáleží, nachytá běžného uživatele a podsune mu spustitelný kód, pomocí kterého převezme vládu nad jeho počítačem. Tento přístup pak může využít k získání citlivých dat či vedení dalšího útoku.
Penetrační testy ve své podstatě vyhledávají a aplikují metody pro napadení informačního systému tak, jak by k tomu mohlo potenciálně dojít při projevech počítačové kriminality.
Penetrační testování má vždy své pevně dané pravidla, tak aby nedošlo k poškození dat nebo informačního systému. Penetrační testy nevyřeší vaší bezpečnost, ale jsou nezbytnou součástí procesu zajištění ochrany dat. Odborníci na základě výsledků testů získají informace o slabinách v konstrukci IS, v konfiguraci počítačů a aktivních prvků sítí.
Dříve se pojem penetrační testování vztahoval pouze na síť a věci s ní spojené. Dnes však tento pojem není výhradou pouze sítí, protože se používá i na testování aplikací, produkčního serveru, osobního PC atd.
Testy se provádějí na základě expertních zkušeností metodou "etického hackingu" a ve shodě s normami ČSN ISO/IEC TR 13335 a ČSN ISO/IEC 17799.