Podczas przeprowadzenia testu penetracyjnego aplikacji web można wyogólnić kilka etapów. Każdy z nich charakteryzuje się wykorzystaniem innych narzędzi i tym samym otrzymanym rezultatem. Można także zauważyć że poszczególne fazy nie zawsze występują ściśle po sobie. Najczęściej jednak wyniki uzyskane z jednego etapu są często danymi wejściowymi dla etapu kolejnego.
Na grafie poniżej zostały zaznaczone wyodrębnione fazy przeprowadzania testu penetracyjnego:
Pierwsza faza przeprowadzania testu penetracyjnego webaplikacji polega w głównej mierze na zebraniu jak największej liczby informacji o atakowanej webaplikacji. Każda, nawet z początku wydająca się na błahą informacją, może okazać się kluczową w znalezieniu i wykorzystaniu potencjalnych błędów. W głównej mierze będą to informacje o użytych technologiach, identyfikacji sieci oraz systemu operacyjnego. Kolejna faza skupia się na odkrywaniu całej aplikacji, poznania jej logiki działania oraz wszystkich funkcjonalności. Jest to niezbędne do prawidłowej oceny i rozróżnienia błędów bezpieczeństwa od prawidłowych i oczekiwanych rezultatów działania aplikacji. Następna jest faza polegająca na znajdowaniu potencjalnych błędów. Odbywa się to poprzez wykonanie różnego rodzaju testów. Pozwala to na określenie, czy daną funkcjonalność aplikacji można wykorzystać w niebezpieczny sposób. W dalszym ciągu następuje faza polegająca na wykorzystaniu znalezionych błędów. To tutaj tester penetracyjny przygotowuje wektor ataku w celu uzyskania jakiegokolwiek zysku – np. poprzez zdobycie wrażliwych informacji. Zależnie od uzyskanych rezultatów atakujący dokonuje oceny krytyczności wykrytej podatności. Ostatnią, a zarazem najistotniejszą z punktu widzenia klienta jest faza polegająca na dokładnym udokumentowaniu wykrytych podatności i przygotowaniu raportu z przeprowadzonych badań. Przygotowany dokument powinien zostać napisany językiem uniwersalnym zrozumiałym zarówno dla pracowników technicznych jak i osób zajmujących stanowiska kierownicze. Aby ułatwić podejmowanie trudnych decyzji należy opisywać wykryte podatności w sposób pokazujący wpływ na biznes.