Kopplingen mellan etisk hacking och penetrationstestning är ganska enkel, eftersom den förra vanligtvis involverar användningen av den senare. Etisk hacking hänvisar till handlingar av personer som är anställda av ett företag för att försöka hacka sig in i företagets system eller nätverk, för att visa svagheter eller sätt på vilka någon kan starta en skadlig attack mot företaget. Penetrationstestning är i grunden ett försök att penetrera ett säkert system för att efterlikna hur någon med uppsåt kan attackera systemet. Detta innebär att människor ofta anlitas av ett företag för att ägna sig åt etisk hackning och penetrationstester för det företaget.
Någon som anlitas av ett företag för att utföra etisk hackning och penetrationstester på företagets system kallas ofta för en ”white hat”-hacker. Han eller hon använder samma metoder och typer av programvara som används av en ”black hat”-hacker som kan attackera ett system för att få information av skadliga skäl. Om en white hat-hacker däremot får tillgång till ett system, rapporterar han eller hon svagheter och hur han eller hon lyckades med attacken. En hacker med svart hatt kommer sannolikt att hålla sådan information hemlig och använda den för sin egen personliga vinning.
Sambandet mellan etisk hackning och penetrationstestning är till stor del baserad på hur båda termerna används inom datasäkerhetsbranschen. Etisk hacking används vanligtvis av hackare med white hat för att beskriva de typer av tjänster de tillhandahåller. Någon som är engagerad i etiskt hackande försöker, i alla avseenden, få tillgång till ett säkert system eller nätverk med samma metoder och programvara som alla illvilliga hackare kan använda. Den stora skillnaden mellan denna typ av hacking och skadlig hacking är dock att en etisk hackare inte installerar skadlig programvara i ett äventyrat system eller använder systemet för egen vinning.
Ett av sätten på vilka etisk hackning ofta uppnås är genom en process som kallas penetrationstestning. Detta är i grunden ett försök att penetrera säkerheten i ett system eller nätverk. Etisk hackning och penetrationstestning genomförs för att säkerställa att svagheter hittas genom pågående tester och för att ge information om hur dessa svagheter kan elimineras.
”Black box”-testning innebär att en etisk hackare inte har information om systemet han eller hon försöker komma åt och försöker attackera systemet på samma sätt som någon utomstående kan försöka. Detta replikerar en attack från någon som riktar sig mot ett företag utifrån. I motsats till detta ger ”white box”-testning en etisk hackare information om systemet, för att replikera en attack från en hackare med insiderkunskap om ett system, till exempel ett försök från en tidigare anställd.