Bei einem öffentlich erreichbaren System wurde eine ausnutzbare Schwachstelle festgestellt. Anfällig hierfür sind besonders Web- und DNS-Server, aber natürlich auch vor der Schutzzone platzierte Projekt-Server für ftp- oder telnet-Zugang.

Entweder gelingt es gleich, hohe Privilegien zu erlangen, oder man sucht als einfacher User jetzt lokal nach weiteren Schwachstellen. Häufig gelingt es, an die Passwort-Datei zu gelangen und diese dann einem Crack-Programm zuzuführen.

Privilegiert lassen sich jetzt von diesem Ausgangssystem leicht weitere Aktivitäten starten. Zunächst werden sicherheitshalber Log-Einträge gereinigt und eventuell Systemprogramme gegen manipulierte ausgetauscht. Hierüber oder durch Installation eines Sniffer-Programms lassen sich dann weitere Passwörter ablauschen.

Mit ein wenig Glück findet der Angreifer ausnutzbare Vertrauensbeziehungen zu anderen Rechnern - oder er kann eine bestehende Session übernehmen ("hijacking"). Ist diese von interner Seite aus initiiert, dann ist sogar ein Eindringen in das interne Netz möglich.

Die erste Phase dient der reinen Informationsbeschaffung unter Nutzung öffentlich zugänglicher Quellen. Mit dem Namen des Unternehmens können zum Beispiel über Search-Engines wie Google und den Web-Server (falls vorhanden) des Unternehmens erste Informationen gesammelt werden. Besonders interessant sind Hinweise auf Unternehmensstrukturen, die sich zum Beispiel aus Geschäftsberichten ergeben. Zur Ermittlung von Domain-Namen, IP-Adressbereichen und Public-Servern steht eine Vielzahl von weiteren Recherchemöglichkeiten zur Verfügung. Hierzu gehören öffentliche Server wie Ripe-Datenbank, IP Index oder auch Tools wie nslookup, dig, whois oder finger.

Damit sind die dem Unternehmen zuzurechnenden IP-Adressbereiche bestimmt, DNS-, Mail- und Web-Server bekannt und zumeist auch noch die Namen (Adressen, Telefonnummern) der administrativen und technischen Ansprechpartner im Unternehmen zugänglich. Die Aktivitäten der Infoseek-Phase bleiben für das zu überprüfende Unternehmen unbemerkt.