Les composants web faisant partie de la cible d'évaluation sont soumis à un test d'intrusion de l'application web, en mode authentifié ou non authentifié, qui couvre, dans la mesure du possible, la collecte d'informations, le test de configuration et la gestion du déploiement, le test de gestion de l'identité, le test d'authentification et le test d'autorisation, les tests côté client et côté serveur, les tests de gestion de session, la validation des données et la gestion des erreurs, les tests de la cryptographie utilisée et les tests de logique métier.
Les composants du site web, du commerce électronique et de l'infrastructure du serveur accessibles sur Internet et définis comme cible d'évaluation sont soumis à des tests de sécurité réalisés sans authentification ni boîte noire, c'est-à-dire sans aucune information technique sur les cibles. En cas d'accès effectif aux systèmes, un test d'accessibilité des réseaux et systèmes voisins peut être effectué. Cela se fait en effectuant des activités de découverte d'hôtes, de fingerprinting, d'énumération de services et, dans tous les cas, toutes les activités non invasives visant chaque actif technologique, système, service ou application qui permet un accès au niveau de l'interconnexion des réseaux. Il en résulte une collecte d'informations et l'identification des points à analyser, des scénarios d'attaque ou de risque ou des propositions d'études détaillées.