Peretasan etis terutama digunakan untuk pengujian penetrasi, yang mencari titik lemah dalam sistem komputer untuk mengidentifikasi masalah keamanan. Beberapa bentuk hacktivisme, aktivisme politik yang dilakukan melalui peretasan, mungkin juga berada di bawah payung peretasan etis. Spesialis komputer tersebut bekerja untuk mengatasi kerentanan untuk melindungi orang dan organisasi dari perilaku jahat di Internet dan di seluruh jaringan. Mereka dapat melakukannya dengan izin dan dengan permintaan eksplisit, dalam kasus pengujian penetrasi, meskipun peretas biasanya bertindak tanpa mendapatkan izin terlebih dahulu.
Dalam pengujian penetrasi, seorang peretas etis menggunakan teknik yang sama dengan orang jahat, yang mencakup memindai sistem, mencoba mendapatkan informasi dari karyawan, dan sebagainya. Peretas dapat mensimulasikan serangan, menanam file palsu, dan terlibat dalam aktivitas lain. Peretas ingin mencari tahu di mana kerentanan dan bagaimana mereka dapat digunakan. Mereka mungkin, misalnya, dapat menunjukkan bahwa mungkin untuk menanam informasi di jaringan atau mengakses data rahasia.
Informasi yang dikumpulkan selama pengujian tersebut dapat digunakan untuk memperketat keamanan. Ini mungkin termasuk menutup celah pemrograman serta melatih personel dalam beberapa prosedur keamanan. Perusahaan dapat mengambil langkah-langkah seperti menyiapkan server rollover untuk mengambil alih jika terjadi serangan, atau membuat program deteksi yang kuat untuk serangan penolakan layanan untuk menghentikan mereka di jalurnya. Pemantauan keamanan yang sedang berlangsung dapat mencakup upaya peretasan etis yang berkelanjutan untuk mengonfirmasi bahwa sistem masih berfungsi dengan baik.
Peretasan memiliki banyak bentuk, tetapi terkadang mencakup aktivitas yang dianggap sebagai peretasan etis oleh orang-orang. Misalnya, seorang peretas dapat berhasil menembus situs web, basis data, atau jaringan, dan mengirimkan pemberitahuan kepada pemiliknya yang memperingatkan mereka tentang masalah tersebut. Dalam hal ini, aktivitas peretas tidak dilakukan berdasarkan permintaan, tetapi dilakukan sebagai layanan publik. Ada kewajiban hukum bagi peretas yang terlibat dalam aktivitas tersebut, karena upaya penetrasi biasanya ilegal kecuali jika dilakukan atas perintah khusus dari pemilik situs, sistem, atau jaringan.
Mengidentifikasi celah keamanan dan memberikan saran tentang cara memperbaikinya memerlukan pengembangan berbagai keterampilan komputer. Beberapa orang yang bekerja sebagai peretas jahat nantinya dapat beralih ke pekerjaan konsultasi keamanan pribadi, mengubah pengalaman mereka menjadi aplikasi yang berguna. Orang lain mungkin mengejar pelatihan lanjutan untuk mengembangkan keterampilan yang dibutuhkan untuk melakukan pengujian penetrasi yang terampil dan ekstensif. Karena metode serangan berada dalam keadaan evolusi yang konstan, pendidikan berkelanjutan yang teratur untuk mengikuti apa yang dilakukan peretas, serta metode mereka, merupakan aspek penting dari peretasan etis.