Esistono molti tipi diversi di strumenti di test di penetrazione utilizzati nel settore della sicurezza delle informazioni e della rete. Alcuni dei più comuni includono scanner di porte che vengono utilizzati per trovare porte su una rete e scanner di vulnerabilità che possono quindi cercare punti deboli e vulnerabilità su tali porte. Molti tester di penetrazione utilizzano anche sniffer di pacchetti per analizzare i dati trasmessi da e verso porte e sistemi di rilevamento delle intrusioni per cercare attacchi o attività dannose all’interno di tali pacchetti. Esistono anche numerosi strumenti di test di penetrazione utilizzati per lanciare un attacco virtuale su una rete, inclusi software di cracking delle password e strumenti di sfruttamento.
Gli strumenti di test di penetrazione vengono utilizzati durante i test di penetrazione, in cui un hacker etico valuta una rete attraverso la scansione e un attacco simulato su di essa. Uno degli strumenti più comunemente utilizzati in questo processo è un programma di scansione delle porte, che può essere utilizzato per eseguire la scansione di una rete per trovare le porte disponibili. Queste porte possono quindi essere utilizzate con scanner di vulnerabilità per documentare ulteriormente dove potrebbero esistere potenziali punti deboli su una rete. Sebbene questi scanner non lancino effettivamente un attacco, vengono spesso utilizzati durante i test di penetrazione iniziali.
Gli sniffer di pacchetti sono strumenti di test di penetrazione comunemente utilizzati che consentono a un tester di osservare i pacchetti di dati inviati da e verso una rete specifica. Questo può includere i pacchetti inviati dal tester, per valutare come vengono ricevuti, così come quelli inviati da altri utenti della rete. I sistemi di rilevamento delle intrusioni possono quindi essere utilizzati con le diverse porte di rete e i pacchetti sniffati per cercare attacchi dannosi che potrebbero già verificarsi. Questi strumenti di test di penetrazione consentono a un hacker etico di assicurarsi che qualcun altro non stia già attaccando un sistema per motivi non etici.
Una volta che un tester di penetrazione ha trovato potenziali punti deboli e vulnerabilità in un sistema, può utilizzare vari strumenti di test di penetrazione per lanciare un attacco su di esso. I cracker di password, ad esempio, vengono spesso utilizzati per trovare password per accedere più facilmente alla rete in futuro. Gli strumenti di sfruttamento consentono a qualcuno di automatizzare più rapidamente e facilmente il processo di ricerca di exploit comuni in un sistema. Un singolo programma può tentare di utilizzare centinaia, o addirittura migliaia, di noti exploit durante i test di penetrazione.
Tutti questi strumenti di test di penetrazione sono disponibili da numerosi sviluppatori di software, molti dei quali come programmi open source o freeware. Esistono numerosi programmi disponibili in commercio, che possono essere utilizzati sia da hacker etici che non etici. Molti tester di penetrazione preferiscono sviluppare il proprio software e una varietà di plug-in e componenti aggiuntivi per i programmi esistenti può essere utilizzata per migliorare o personalizzare le proprie prestazioni.