Etisk hackning används främst för penetrationstestning, som letar efter de svaga punkterna i ett datorsystem för att identifiera säkerhetsproblem. Vissa former av hacktivism, politisk aktivism som bedrivs genom hacking, kan också falla under paraplyet av etisk hacking. Sådana datorspecialister arbetar med att åtgärda sårbarheter för att skydda människor och organisationer från skadligt beteende på Internet och över nätverk. De kan göra det med tillstånd och på uttrycklig begäran, i fallet med penetrationstestning, även om hacktivister vanligtvis agerar utan att först få tillstånd.
I penetrationstestning använder en etisk hackare samma teknik som en illvillig person kan, som inkluderar att skanna systemet, försöka få ut information från anställda och så vidare. Hackaren kan simulera attacker, plantera falska filer och delta i andra aktiviteter. Hackare vill ta reda på var sårbarheterna finns och hur de kan användas. De kan till exempel kunna visa att det är möjligt att plantera information i ett nätverk eller få tillgång till konfidentiell data.
Den information som samlas in under sådana tester kan användas för att skärpa säkerheten. Detta kan inkludera att täppa till kryphål i programmeringen samt att utbilda personal i vissa säkerhetsprocedurer. Företag kan ta steg som att sätta upp rollover-servrar för att ta över i händelse av en attack, eller skapa ett kraftfullt upptäcktsprogram för överbelastningsattacker för att stoppa dem i deras spår. Pågående säkerhetsövervakning kan inkludera fortsatta etiska hackningsförsök för att bekräfta att systemet fortfarande fungerar bra.
Hacktivism tar många former, men inkluderar ibland aktiviteter som människor kan överväga etisk hacking. Till exempel kan en hackare framgångsrikt penetrera en webbplats, databas eller nätverk och skicka ett meddelande till ägarna som uppmärksammar dem på problemet. I det här fallet utförs hackarens aktiviteter inte på begäran, utan utförs som en offentlig tjänst. Det finns juridiska skyldigheter för hackare som ägnar sig åt sådana aktiviteter, eftersom penetrationsförsök vanligtvis är olagliga såvida de inte utförs av specifik order från ägaren av en webbplats, ett system eller ett nätverk.
Att identifiera kryphål i säkerheten och ge förslag på hur man åtgärdar dem kräver utveckling av ett brett spektrum av datorkunskaper. Vissa människor som arbetar som illvilliga hackare kan senare vända sig till privat säkerhetskonsultarbete och vända sin erfarenhet till användbara applikationer. Andra kan ägna sig åt avancerad utbildning för att utveckla de färdigheter som behövs för att utföra skickliga och omfattande penetrationstester. Eftersom attackmetoder är i ett konstant tillstånd av utveckling är regelbunden fortbildning för att hänga med i vad hackare gör, såväl som deras metoder, en viktig aspekt av etisk hackning.