Web Hacking

Hello,

Je suis tout nouveau dans le pentest, j’ai juste testé vite fait quelques outils mais j’espère vite monter en flèche.
Je me demande comment se déroule un pentest web en fonction du temps alloué à la tâche.
J’ai vu qu’un scan Nikto pouvait être long via le web, il en est de même pour Nessus etc...
Dans le cas où l’on ait un temps imparti, disons d’une demi-journée, une journée, 3 jours ou une semaine, quelles serait le protocole de test le plus adapté à la situation pour fournir un rapport à un ami ou un client en prenant en compte justement la longueur de tous ces scans ?
Quels outils utiliser en tout premier ?
Doit-on oublier le concept de demi-journée, trop court pour espérer fournir quoique ce soit ?

Merci pour vos réponses !