Системы IP-телефонии (VoIP) достаточно часто становятся объектом атак злоумышленников. При этом их целью может быть как перехват конфиденциальной информации, так и осуществление звонков для получения финансовой выгоды и многое другое. Тестирование систем IP-телефонии можно проводить как в виде тестирования на проникновения, так и в виде аудита «белым ящиком». Внешнее тестирование на проникновение VoIP-систем подразумевает поиск уязвимостей в программном обеспечении (SIP-сервисы, веб-интерфейсы), паролей по умолчанию, слабого шифрования, ошибок конфигурации, позволяющих скомпрометировать сервер, осуществлять несанкционированные звонки, прослушивать голосовой трафик. Возможно тестирование роботов-автоответчиков, осуществляющих взаимодействие с пользователями при помощи DTMF-сигналов, а также программных компонентов, осуществляющих автоматические звонки или рассылающих SMS. При внутреннем тестировании на проникновение VoIP-систем подразумевается наличие доступа к локальной сети Заказчика. В данном случае возможно проведение целого ряда дополнительных атак сетевого уровня, позволяющих перехватывать RTP-трафик, осуществлять несанкционированные звонки и иные мошеннические действия. В рамках аудита систем VoIP производится анализ конфигураций телефонных станций, абонентского оборудования, сетевых устройств, пользовательских интерфейсов и иных компонентов.