Die Risiken werden in fünf Kategorien eingeteilt: Verwundbarkeit, Schwachstelle, Bedenken, Informationsabfluss und Anomalie. Was darunter jeweils zu verstehen ist, erläutern nachfol-gend ein paar Beispiele. Bei einer Verwundbarkeit kann es sich um eine Anfälligkeit für einen Buffer Overflow handeln, die es dem Angreifer ermöglicht, beliebigen Code auf dem System auszuführen. Eine Schwachstelle stellt im Gegensatz dazu keine direkte Bedrohung dar, sondern einen Fehler im Sicherheitsmechanismus. Ein typisches Beispiel findet sich in Web-Applikationen, welche beim erfolglosen Einloggen verraten, ob der Benutzername oder das Passwort falsch waren. So kann ein Angreifer erfahren, welche Benutzerkonten gültig sind.
Bedenken werden formuliert, wenn die Konfiguration oder Architektur nicht den Best Prac- tices entspricht. Ein Informationsabfluss gibt Informationen über die Firma, den Betreiber oder das interne Netzwerk preis. Ein klassisches Beispiel hierfür ist die interne IP-Adresse des Mail-Servers, welche im E-Mail- Header eingetragen wird. Unter Anomalien schließlich werden sämtliche Phänomene erfasst, die der Tester mit den ihm zur Verfügung stehenden Informationen innerhalb der Projektzeit erklären konnte. Hierzu zählt etwa eine nicht erwartete Antwort eines Routers.
Neben dem technischen Vorgehen, dem RAV und den Dokumentationsvorlagen werden im OSSTMM auch ethische Richt- linien festgehalten. Die Tester verpflichten sich, ausschließlich die Komponenten zu untersuchen, die mit dem Kunden vereinbart wurden, und sich dabei an die vorgeschriebenen Rahmenbedingungen zu halten. Security-Tester, die sich an solche Richtlinien halten, werden gerne als "Ethical Hacker" bezeichnet, obwohl sich die ursprüngliche Hacker-Ethik damit nicht deckt.
