Il penetration test, conosciuto anche come pen test, è una prova di vulnerabilità di un sistema e delle applicazioni, che viene messo sotto stress simulando un attacco hacker da parte di un team di esperti.

Un pen test è molto utile alle aziende che vogliono tutelare i propri dati dai pirati della Rete. Va sottolineato, a tal proposito, che si tratta di un settore in continua evoluzione e per quanto il reparto Information Technology di un’azienda sia preparato a sopperire a situazioni critiche, non potrà mai sentirsi all’avanguardia, poiché le sgradite novità in questo ambito sono all’ordine del giorno.

Il penetration test può essere effettuato in tre modalità che simulano diverse tipologie di attacco. Queste differiscono tra loro per la disponibilità o meno di informazioni di sicurezza del sistema da parte del presunto hacker (e quindi da parte dei pen tester).

1. Black Box Testing: detto anche “Trial and error”, è un test che dura molto a lungo poiché i pen tester non hanno indicazione alcuna rispetto a codice sorgente e web application. Essi dunque navigano nel buio più totale e vanno alla ricerca di punti deboli del sistema. 
2. White Box Testing: detto anche “Clear Box Testing”, è condotto da personale che conosce informazioni di sicurezza del sistema. Per questo dura meno tempo rispetto al black box testing, risulta più efficace, ma per essere davvero credibile deve essere condotto in maniera automatizzata, facendo uso di pentest tools complessi. 
3. Grey Box Testing: in questo caso i tester sono solo parzialmente a conoscenza dei sistemi di sicurezza. Il Penetration Test è condotto sia manualmente che con il supporto dell’automazione.