1. การวางแผนและการระบุขอบเขต (Planning and Scoping):

• กำหนดขอบเขตของการทดสอบ และระบบที่ต้องการตรวจสอบ
• ระบุเป้าหมาย และวัตถุประสงค์ของการทดสอบ
• ประสานงานกับผู้มีส่วนเกี่ยวข้องในองค์กรเพื่อให้แน่ใจว่าการทดสอบไม่ส่งผลกระทบต่อการดำเนินงานปกติ

2. การตรวจสอบช่องโหว่ (Vulnerability Assessment):

• ใช้เครื่องมือ และเทคนิคต่าง ๆ เพื่อสแกนระบบ, เครือข่าย, และแอปพลิเคชันเพื่อค้นหาช่องโหว่ที่เป็นไปได้
• วิเคราะห์ผลลัพธ์จากการสแกน และจัดอันดับความเสี่ยงตามความรุนแรง รวมถึงจัดลำดับความสำคัญ
• จัดทำรายงานที่ละเอียดซึ่งระบุช่องโหว่ที่พบ พร้อมคำแนะนำในการแก้ไข และนำเสนอให้ต่อผู้ใช้บริการ

3. การทดสอบเจาะระบบ (Penetration Testing):

• ทดสอบเจาะระบบโดยการจำลองการโจมตีจากผู้ไม่หวังดี เพื่อประเมินความสามารถของการป้องกัน
• ใช้เทคนิคการโจมตีต่าง ๆ เช่น การโจมตีแบบ Brute Force, การโจมตีด้วย SQL Injection, และการโจมตีแบบ Phishing ตามรูปแบบมาตรฐานต่าง ๆ และโจมตีโดยอ้างอิงลักษณะของธุรกิจ
• ระบุช่องโหว่ที่สามารถถูกโจมตี และประเมินผลกระทบที่อาจเกิดขึ้นจากการโจมตี

4. การวิเคราะห์และรายงานผล (Analysis and Reporting):

• จัดทำรายงานที่ครอบคลุมซึ่งระบุช่องโหว่ที่พบ, วิธีการโจมตีที่ใช้, ผลกระทบที่อาจเกิดขึ้น, และคำแนะนำในการแก้ไข
• ประชุมกับทีมงานขององค์กรเพื่ออธิบายผลการทดสอบ และคำแนะนำในการป้องกัน

5. การแก้ไขและการทดสอบซ้ำ (Remediation and Re-testing):

• ให้คำแนะนำในการแก้ไขช่องโหว่ที่พบ และติดตามความคืบหน้าในการแก้ไข
• ดำเนินการทดสอบซ้ำ เพื่อให้แน่ใจว่าช่องโหว่ที่ถูกแก้ไขแล้วไม่สามารถถูกโจมตีได้อีก

– Technical Guide to Information Security Testing and Assessment (NIST SP800-115) (2008)
– Open Source Security Testing Methodology Manual (OSSTMM v3) (2010)
– OWASP Testing Guides
– CREST Penetration Testing Guide
– PCI DSS Penetration Testing Guide
– Penetration Testing Execution Standard (PTES)
– Penetration Testing Framework 0.59 (PTF)
– Web Application Security Consortium Threat Classification (WASC Threat Classification)
– OWASP Top 10 (2021)
– OWASP API Security Top 10 (2023)
– OWASP Mobile Top 10 (2024)