اختبار الاختراق ، المعروف بالعامية باسم اختبار القلم أو الاختراق الخاطئ أو الاختراق الأخلاقي ، هو هجوم إلكتروني محاكى مرخص له على نظام كمبيوتر ، يتم إجراؤه لتقييم أمان النظام ؛ لا ينبغي الخلط بينه وبين ثغرة أمنية التقييم. يتم إجراء الاختبار لتحديد نقاط الضعف (يشار إليها أيضًا باسم نقاط الضعف) ، بما في ذلك إمكانية وصول الأطراف غير المصرح لها إلى ميزات وبيانات النظام ، بالإضافة إلى نقاط القوة ، تمكين تقييم كامل للمخاطر أن يكتمل. تحدد العملية عادةً الأنظمة المستهدفة وهدفًا معينًا ، ثم تستعرض المعلومات المتاحة وتتخذ وسائل مختلفة لتحقيق هذا الهدف. قد يكون هدف اختبار الاختراق عبارة عن صندوق أبيض (يتم تقديم معلومات الخلفية والنظام عنه مسبقًا للمختبر) أو صندوقًا أسود (يتم توفير معلومات أساسية عنه فقط - إن وجدت - بخلاف اسم الشركة). اختبار اختراق الصندوق الرمادي هو مزيج من الاثنين (حيث يتم مشاركة المعرفة المحدودة بالهدف مع المدقق). يمكن أن يساعد اختبار الاختراق في تحديد نقاط ضعف النظام للهجوم وتقدير مدى تعرضه للخطر.
يجب إبلاغ مالك النظام بالقضايا الأمنية التي يكشفها اختبار الاختراق.
قد تقوم تقارير اختبار الاختراق أيضًا بتقييم التأثيرات المحتملة على المنظمة وتقترح تدابير مضادة لتقليل المخاطر.
تعد اختبارات الاختراق أحد مكونات التدقيق الأمني الكامل. على سبيل المثال ، يتطلب معيار أمان بيانات صناعة بطاقات الدفع اختبار الاختراق وفقًا لجدول زمني منتظم ، وبعد تغييرات النظام. توجد العديد من الأطر والمنهجيات القياسية لإجراء اختبارات الاختراق. وهي تشمل دليل منهجية اختبار الأمان مفتوح المصدر (OSSTMM) ، ومعيار تنفيذ اختبار الاختراق (PTES) ، والمنشور الخاص NIST 800-115 ، وإطار تقييم أمان نظام المعلومات (ISSAF) ، ودليل اختبار OWASP.