Penetrační testování ( jarg . Pentest ) je metoda hodnocení bezpečnosti počítačových systémů nebo sítí pomocí simulace útoku narušitele. Proces zahrnuje aktivní analýzu systému z hlediska potenciálních zranitelností , které by mohly způsobit selhání cílového systému nebo způsobit úplné odmítnutí služby . Analýza je prováděna z pohledu potenciálního útočníka a může zahrnovat aktivní využívání systémových zranitelností. Výsledkem práce je zpráva obsahující všechny nalezené bezpečnostní chyby a může obsahovat i doporučení pro jejich odstranění. Účelem penetračního testování je posoudit proveditelnost penetračního testu a předpovědět ekonomickou ztrátu vyplývající z úspěšného útoku. Penetrační testování je součástí bezpečnostního auditu . Specialista, který provádí penetrační test, se nazývá pentester. Výsledkem penetračního testu je zpravidla zpráva obsahující zranitelnosti zjištěné během analýzy a případně doporučení k jejich odstranění.
Penetrační testování může být založeno na několika různých technikách. Hlavním rozdílem je dostupnost informací o zkoumaném systému. Při kontrole uzavřených systémů ( black box systems ) útočník nemá prvotní informace o zařízení napadeného cíle. Prvotním úkolem tohoto typu kontroly je shromáždit potřebné informace o umístění cílového systému a jeho infrastruktuře. Kromě uzavřených systémů existují systémy otevřené (k dispozici jsou kompletní informace o cílovém systému) a systémy polouzavřené (k dispozici jsou pouze dílčí informace).
Cílové systémy zahrnují počítačové systémy přístupné z internetu . Před zahájením hromadného používání cílového systému by mělo být provedeno penetrační testování. To poskytuje určitou míru jistoty, že žádný útočník nebude schopen přímo ani nepřímo poškodit provoz studovaného systému.
V polovině 60. let vyvolala rostoucí obliba počítačových systémů s časovým sdílením, které zpřístupňovaly zdroje prostřednictvím komunikačních linek, nové obavy o bezpečnost. Jak vysvětlují učenci Deborah Russell a G. T. Gangemi starší, "šedesátá léta znamenala skutečný začátek éry počítačové bezpečnosti." [1] : 27