Trong khi penetration testing (kiểm thử xâm nhập) tập trung vào tấn công phần mềm và hệ thống máy tính từ đầu - quét cổng, kiểm tra các lỗi đã biết trong giao thức và ứng dụng đang chạy trên hệ thống, và cài đặt bản vá, ví dụ - Ethical hacking có thể bao gồm các yếu tố khác. Một cuộc tấn công đạo đức đầy đủ quy mô có thể bao gồm gửi email cho nhân viên để yêu cầu chi tiết mật khẩu, lục tung thùng rác của các nhà lãnh đạo, thông thường mà không có sự hiểu biết và sự đồng ý của các mục tiêu. Chỉ có chủ sở hữu, CEO và thành viên Hội đồng quản trị (các bên liên quan) yêu cầu kiểm định bảo mật quy mô như vậy mới biết. Để cố gắng tái hiện một số kỹ thuật phá hoại mà một cuộc tấn công thực tế có thể sử dụng, những hacker đạo đức có thể sắp xếp các hệ thống kiểm tra đã được nhân bản, hoặc tổ chức một cuộc hack vào đêm khuya khi hệ thống ít quan trọng hơn.[13] Trong các trường hợp gần đây nhất, các cuộc tấn công này kéo dài trong thời gian dài (một số ngày, thậm chí vài tuần, bằng cách xâm nhập vào tổ chức trong thời gian dài). Một số ví dụ bao gồm việc để lại ổ đĩa USB/flash chứa phần mềm tự động khởi động ẩn trong một khu vực công cộng như là một người nào đó để mất ổ đĩa nhỏ và một nhân viên không nghi ngờ nào đó tìm thấy và mang đi.

Một số phương pháp khác để thực hiện điều này bao gồm:Phân tích dữ liệu đĩa và bộ nhớTấn công DoS (Denial-of-Service)Các khung công cụ như:

• • Metasploit

Bảo mật mạngĐảo ngược công nghệCác công cụ quét bảo mật như:

• • Burp Suite
  • Nessus
  • W3af

Chiến thuật hình thức kỹ thuật xã hộiNền tảng đào tạo

• Vulnerability research

Các phương pháp này xác định và khai thác các lỗ hổng bảo mật đã được biết đến và cố gắng tránh bị phát hiện để xâm nhập vào các khu vực được bảo mật. Họ có thể làm điều này bằng cách ẩn các "cánh cửa sau" phần mềm và hệ thống có thể được sử dụng như một liên kết đến thông tin hoặc quyền truy cập mà một hacker không đạo đức, còn được biết đến là "black hat" hoặc "grey hat", có thể muốn đạt được.