Testowanie zazwyczaj rozpoczyna się od rozmowy telefonicznej, podczas której omawiane są z klientem SOW i ROE. Ustalane są ramy czasowe testowania i uwzględniane są wszelkie inne wątpliwości lub tematy związane z testowaniem. Po uzgodnieniu wszystkich tych informacji ustalane są daty testów i tester może rozpocząć planowanie zaangażowania. Wszelkie zmiany w SOW lub ROE muszą być udokumentowane na piśmie, aby uniknąć nieporozumień. Proces ten powinien zostać udokumentowany jako część zasad i procesów zespołowych. Niezależnie od rodzaju testów, istnieje ogólny schemat testów penetracyjnych. Testowanie rozpoczyna się od rozpoznania, które obejmuje badanie przestrzeni IP, nazw DNS i innych aspektów testowania sieci, ale może obejmować wiele innych elementów w przypadku innych typów testów. Na przykład w przypadku testów fizycznych, częścią działań zwiadowczych może być przeglądanie zdjęć z rozpoznania powietrznego w Internecie lub zdjęć opublikowanych w Internecie z wydarzeń odbywających się w danej lokalizacji w celu uzyskania dodatkowych informacji. Stamtąd przeprowadzane jest odkrywanie, skanowanie, eksploatacja i posteksploatacja. Szczegóły tych testów różnią się w zależności od rodzaju testów penetracyjnych; mają one jednak charakter cykliczny. Po dokonaniu nowych odkryć dodatkowe rozpoznanie może rozpocząć dodatkowe kroki w celu ustalenia kolejnego zestawu kroków. O tym procesie napisano całe książki, dlatego skupimy się bardziej na procesie biznesowym niż na procesach technicznych. Po zakończeniu testów rozpoczyna się faza raportowania. Sprawozdawczość powinna zawierać streszczenie mające na celu umożliwienie czytelnikom nietechnicznym przeglądu tego, co raport oznacza dla organizacji. Obejmuje to aspekty wysokiego szczebla, takie jak cele osiągnięte przez testera, ogólny wpływ na organizację oraz ogólną strategię działań naprawczych i poprawy postawy organizacji. Narracja ataku pomaga przedstawić kroki podjęte podczas testowania i może zawierać szczegóły techniczne, które menedżerowie techniczni będą mogli zrozumieć na temat przebiegu ataku. Może to obejmować mapy ataków przedstawiające łańcuch ataków, kroki podjęte w celu osiągnięcia celów testowania, napotkane kontrole i wszelkie wykryte obejścia. Narracja ma na celu opowiedzenie czytelnikowi, co się wydarzyło i jaki był wpływ, a także dać innemu testerowi zrozumienie, jak odtworzyć ten test, jeśli zostanie mu przypisany ponownie. Sekcja raportu z wynikami zawiera listę problemów wykrytych podczas testowania i zazwyczaj zawiera ocenę wpływu, opis ustalenia, kroki umożliwiające jego odtworzenie, zrzuty ekranu służące jako dowód oraz sugestię rozwiązania. W niektórych raportach ocena wpływu może być wymieniona jako ryzyko, ale ponieważ niektórych elementów ryzyka nie można obliczyć, w rzeczywistości jest to postrzegany wpływ na środowisko. Dobry raport będzie zawierał opis sposobu obliczania tego wpływu, tak aby czytelnik mógł zrozumieć, co oznaczają oceny w kontekście. Ustalenia te powinny dotyczyć aktywów lub obszarów środowiska, na które mają wpływ, i powinny ograniczać się do jednej kwestii. Problemy, które wymagają rozwiązania wielu osób, mniej pomagają firmie, ponieważ nie można ich łatwo przypisać do grupy w celu rozwiązania. Raporty mogą zawierać inne elementy, w zależności od tego, o co jeszcze poprosi klient, takie jak informacje o datach, SOW, ROE, ograniczeniach testów, ewentualnych wynikach skanowania i inne aspekty, które zespół testujący uwzględnia we wszystkich swoich raportach. Raporty te powinny być jasne, zwięzłe i zrozumiałe dla docelowych odbiorców. W razie potrzeby mogą zostać udostępnione dodatkowe łącza, które pomogą czytelnikowi zrozumieć, jak rozwiązać problemy. Ten raport stanowi prawdziwą wartość w testowaniu i chociaż samo testowanie jest pomocne, bez raportu dotyczącego jakości uzyskanie trakcji w celu naprawienia problemów może być trudne i obniży jakość testowania.