در عملیات تست نفوذ از متدولوژی های برتری از قبیل OSSTMM و OWASP استفاده می شود. تست نفوذ در سه نوع جعبه سیاه، جعبه خاکستری و جعبه سفید قابل انجام است.

جعبه سیاه: در این حالت، هیچگونه اطلاعی از سیستم هدف در اختیار ارزیاب قرار نخواهد گرفت. بعنوان مثال تنها آدرس URL مربوط به پورتال در اختیار ارزیاب قرار می گیرد.

جعبه خاکستری: در این حالت اطلاعات کمی در خصوص سیستم هدف در اختیار ارزیاب قرار می گیرد. بعنوان مثال علاوه بر آدرس URL مربوط به پورتال، یک نام کاربری با سطح دسترسی پایین نیز در اختیار ارزیاب قرار می گیرد.

جعبه سفید: در این حالت اطلاعات نسبتا جامعی در خصوص سیستم هدف در اختیار ارزیاب قرار می گیرد. بعنوان مثال علاوه بر آدرس URL مربوط به پورتال، نام کاربری با سطح دسترسی بالا و در برخی موارد نیز امکان دسترسی به کد برنامه نیز در اختیار ارزیاب قرار می گیرد.

زیرساخت:

• سیستم عامل
• پایگاه داده ها
• سرویس های پایه شبکه: Directory Service, DNS, DHCP

شبکه:

• تجهیزات شبکه: Router, Switch, Firewall, IDS
• ارتباطات شبکه ای و شبکه های بی سیم

برنامه کاربردی تحت وب:

• پورتال سازمانی
• وبسایت
• و …