Der Ablauf des Penetrationstest-Trainings kann je nach den spezifischen Komponenten eines bestimmten Trainingsprogramms sehr unterschiedlich sein. Im Allgemeinen lernt jedoch jemand typischerweise die verschiedenen Schritte und Prozesse kennen, die bei der Durchführung eines Penetrationstests auf einem Computersystem erforderlich sind. Dies kann so ziemlich alles umfassen, vom Schreiben von Computerprogrammen, die beim Testen verwendet werden, bis hin zum Verständnis, wie die von diesen Programmen gewonnenen Informationen während des gesamten Testverfahrens verwendet werden können. Einige Penetrationstest-Trainingsprogramme können sogar Menschen beibringen, besser zu verstehen, wie man Penetrationstests für ein Unternehmen vorstellt und nutzt, um die Dienste einer für Penetrationstests zertifizierten Person zu verkaufen.
Ein Penetrationstest-Training ist normalerweise ein Kurs, in dem jemand lernt, wie man Penetrationstests in einem Computernetzwerk oder einem ähnlichen System durchführt. Es gibt eine Reihe von Organisationen, die Penetrationstest-Training anbieten, und die spezifischen Lektionen hängen von der Gruppe ab, die den Kurs anbietet. Im Allgemeinen beginnt dieses Training jedoch typischerweise mit dem Scannen und Mapping des Netzwerks, um Schwachstellen darin zu finden, und dann zu lernen, diese Schwachstellen zu nutzen, um einen simulierten Angriff auf das Netzwerk zu starten.
Es gibt zwar Software, die für Penetrationstests verwendet werden kann, aber einige Schulungsprogramme lehren die Schüler, ihre eigene Software für solche Tests zu entwickeln. Diese Trainingsprogramme sind oft ziemlich kurz, daher sollte jemand bereits über ein gutes Maß an Computerkenntnissen und Programmiererfahrung verfügen. Andere Lektionen, die im Penetrationstest-Training gelehrt werden, können Paket-Sniffing-Verfahren und Netzwerk-Mapping umfassen, um Informationen über ein Computernetzwerk zu bestimmen. Das Training kann dann Lektionen zur Verwendung dieser Informationen beinhalten, um Rootkits oder andere Malware in einem System zu installieren, um Passwörter zu knacken und das Netzwerk anzugreifen.
Einige der sozialen Aspekte des Penetrationstests können auch in Penetrationstest-Trainingsprogrammen gelehrt werden. Dies kann den Einsatz von Social-Engineering-Methoden beinhalten, um Mitarbeiter eines Unternehmens dazu zu bringen, Passwörter und andere Informationen preiszugeben, die von ethischen „White Hat“-Hackern verwendet werden, die von diesem Unternehmen angeheuert wurden. Nicht alle Unternehmen verstehen jedoch zunächst den Wert von Penetrationstests, daher lehren einige Programme die Studenten auch, die Idee des Testens diesen Unternehmen besser vorzustellen. Dies ermöglicht es jemandem, der eine Penetrationstest-Schulung abgeschlossen hat, seine Fähigkeiten an Unternehmen und Führungskräfte zu verkaufen und dann die Tests zu verwenden, um nützliche Informationen zu generieren, die diese Unternehmen nutzen können, um ihre Systeme besser abzusichern.