Veza između etičkog hakiranja i testiranja penetracije prilično je jasna, budući da prvo obično uključuje korištenje potonjeg. Etičko hakiranje odnosi se na radnje ljudi zaposlenih u tvrtki kako bi pokušali hakirati sustav ili mrežu te tvrtke, kako bi pokazali slabosti ili načine na koje netko može pokrenuti zlonamjerni napad na tu tvrtku. Testiranje penetracije je u osnovi pokušaj prodora u siguran sustav kako bi se oponašao način na koji netko može zlonamjerno napasti sustav. To znači da tvrtka često unajmljuje ljude da se uključe u etičko hakiranje i testiranje penetracije za tu tvrtku.
Netko koga tvrtka unajmi da izvrši etičko hakiranje i testiranje penetracije na sustavu te tvrtke često se naziva “bijelim šeširom” hakerom. On ili ona koristi iste metode i tipove softvera koje koristi haker “crnog šešira” koji bi mogao napasti sustav kako bi dobio informacije iz zlonamjernih razloga. Ako bijeli haker ipak dobije pristup sustavu, tada on ili ona prijavljuje slabosti i kako je uspio u napadu. Black hat haker će vjerojatno čuvati takve informacije u tajnosti i koristiti ih za svoju osobnu korist.
Povezanost između etičkog hakiranja i testiranja penetracije uvelike se temelji na tome kako se oba izraza koriste u industriji računalne sigurnosti. Hakeri s bijelim šeširima obično koriste etičko hakiranje kako bi opisali vrste usluga koje pružaju. Netko tko se bavi etičkim hakiranjem, za sve namjere i svrhe, pokušava dobiti pristup sigurnom sustavu ili mreži koristeći iste metode i softver koji bi svaki zlonamjerni haker mogao koristiti. Glavna razlika između ove vrste hakiranja i zlonamjernog hakiranja, međutim, je u tome što etički haker ne instalira zlonamjerni softver u kompromitirani sustav niti koristi sustav za vlastitu korist.
Jedan od načina na koji se etičko hakiranje često postiže je kroz proces koji se naziva testiranjem penetracije. Ovo je u osnovi pokušaj prodora u sigurnost sustava ili mreže. Etičko hakiranje i testiranje penetracije provodi se kako bi se osiguralo da se slabosti pronađu kroz tekuće testiranje i kako bi se pružile informacije o tome kako se te slabosti mogu eliminirati.
Testiranje “crne kutije” znači da etički haker nema informacije o sustavu kojemu pokušava pristupiti i pokušava napasti sustav na isti način na koji bi to netko izvana mogao pokušati. Ovo replicira napad nekoga tko cilja tvrtku izvana. Za razliku od toga, testiranje “bijele kutije” etičkom hakeru pruža informacije o sustavu, kako bi ponovio napad hakera s unutarnjim znanjem o sustavu, kao što je pokušaj bivšeg zaposlenika.