Die Ergebnisse der ersten Phase liefern den Input für den Connect-Scan, der die zuvor ermittelten IP-Adressbereiche auf wirklich erreichbare Zielsysteme untersucht. Üblicherweise sind die IP-Ranges nur dünn belegt, deshalb kann man zumeist nur mit einer geringen Zahl solcher Systeme rechnen. Häufig werden auch bestimmte Tastversuche wie Ping-Sweeps unterbunden, so dass auch andere Techniken zum Einsatz kommen müssen. Die beim Connect-Scan unternommenen einfachen Tastversuche sollten einem aufmerksamen Administrator nicht verborgen bleiben. In dieser Phase finden jedoch keine Sicherheitsuntersuchungen statt.

Die dritte Phase verwendet die Ergebnisse des Connect-Scan, um gezielt nach Schwachstellen zu suchen. Mit Hilfe von Portscannern, CGI-Tests oder OS-Detection sammeln die Eindringlinge Informationen über die auf den Zielsystemen eingesetzte System- und Anwendungssoftware. Versionen, von denen Schwachstellen bekannt sind, die sich durch andere Programme ("exploits") ausnutzen lassen, werden je nach Gefährdung aufgelistet. Dankbare Objekte hierfür sind zumeist ältere (ungepatchte) Betriebssysteme oder Dienste wie Bind, SSH, MS IIS, SMTP. Häufig gelingt es aber auch schon, durch einfaches Raten zum Beispiel Router-Passwörter zu ermitteln oder mit ungeänderten Initial-Passwörtern wie bei SNMP (Community-String "public") einen Schritt weiterzukommen.

Häufig eingesetzte Tools hierbei sind kommerzielle Security-Scanner von Firmen wie ISS, NAI und Symantec oder auch Open-Source-Varianten wie Nessus, Nmap, Whatsrunning und ldistfp. Beim Security-Scan sind typische Angriffsmuster erkennbar, die einem Administrator sofort auffallen sollten. Bestimmte Tests können sogar zum Systemabsturz führen (insbesondere Denial-of-Serviceattacken), weshalb diese vorher genau abzustimmen sind und bei Anwendung die ständige Erreichbarkeit des lokalen Administrators erforderlich machen.

Soll die Überprüfung nicht mit den Ergebnissen des Security-Scans abgeschlossen werden, sondern sollen Angriffe bis zum Erfolg (zum Beispiel Eindringen in lokale System über Netzgrenzen hinweg) betrieben werden, kommt der Penetrationstest zum Einsatz. Dieser ist entgegen der Aussage einiger Hersteller von System-Scannern nur bedingt automatisierbar und erfordert weitgehend manuelles Vorgehen von erfahrenen Fachleuten.

Ablauf einer Penetration

Die aus der vorigen Phase ermittelten Schwachstellen liefern die ersten Ansatzpunkte für das weitere Vorgehen. Sind bekannte Lücken ermittelt worden, werden die notwendigen Exploits eingesetzt, um diese auszunutzen. Je nach Art der Schwachstelle ist es möglich, Dienste zu unterbinden (DoS-Attacke), Web-Inhalte zu verändern oder sich Zugang zum gewünschten Zielsystem zu verschaffen.