Instrumentele de hacking etic folosite de testerii de penetrare sunt adesea identice sau foarte asemănătoare cu instrumentele folosite de hackeri rău intenționați. Un set de instrumente de hacking etic ajută la localizarea unei rețele țintă – fără fir sau nu – să găsească o modalitate de a accesa rețeaua și apoi să spargă orice parolă sau altă securitate existentă pentru a preveni acest acces. Un alt set de instrumente este utilizat odată ce accesul la o rețea este obținut, permițând scanarea rapidă a fișierelor, detectarea vulnerabilităților sistemului de operare și penetrarea unei baze de date securizate pentru a extrage informații. Un întreg set separat de instrumente este folosit pentru a testa pregătirea unui site web sau a unui serviciu online împotriva atacurilor precum refuzul serviciului (DoS) sau exploatarea aplicațiilor bazate pe web.
Unul dintre instrumentele de hacking etic folosite la testarea securității unui sistem se numește scaner de rețea. Acest software poate localiza semnale wireless care sunt altfel ascunse de software-ul normal și poate ajuta la localizarea adreselor rețelelor care sunt conectate la Internet. Acest lucru permite unui tester să găsească un punct de acces într-o rețea pentru a începe testarea securității interne. Scanerele de vulnerabilitate ale rețelei pot fi utilizate odată ce este găsit un punct de acces, oferind testerului o listă cu hardware-ul și software-ul utilizat în rețea. În acest moment, software-ul de spargere a parolelor poate fi folosit pentru a încerca permutări ale șirurilor alfanumerice pentru a găsi o parolă sau pentru a urmări protocoalele de rețea în încercarea de a extrage parola dintr-un pachet de date interceptat.
În interiorul unei rețele, unul dintre cele mai valoroase instrumente de hacking etic este un scanner de vulnerabilități. Există mai multe tipuri disponibile, dar conceptul lor de bază este de a identifica hardware-ul și software-ul utilizat și apoi de a folosi vulnerabilitățile specifice pe care le conțin pentru a obține un acces mai critic la zonele din cadrul sistemului. În rețelele foarte sigure, există chiar modalități prin diferite setări sau sisteme de operare pentru a permite unui hacker să preia controlul administrativ asupra unui sistem.
În interiorul unui sistem, utilitare precum scanere de fișiere pot fi folosite pentru a izola rapid informațiile. Scanerele de baze de date pot găsi vulnerabilități ascunse pentru a permite transferarea unei baze de date întregi în afara rețelei. Software-ul de exploatare poate ajuta la găsirea erorilor sau erorilor exploatabile care trebuie reparate pentru a preveni preluarea completă a unui sistem de către un intrus.
O întreagă gamă de instrumente de hacking etic sunt concepute să nu pătrundă într-o rețea pentru colectarea datelor, ci să ajute la simularea atacurilor care vizează întreruperea pură a serviciilor. Acestea includ programe care efectuează atacuri DoS, supraîncărcarea unui server și eventual închiderea acestuia pentru o perioadă de timp și instrumente care pot sparge un server web, instala o adresă proxy falsă pentru vizitatori sau chiar modifica modul în care datele sunt introduse și scoase dintr-un script. aplicatie web. Există, de asemenea, instrumente de hacking etic care pot ajuta la determinarea modului și dacă un hacker real ar putea intercepta traficul către și de la un site web, permițându-le să extragă informații despre cardul de credit sau parola de la utilizatori, în ciuda protocoalelor de criptare.