
滲透測試者通常由組織機構內部員工或外部實體(例如投職位或按專案的承包商) 的形式僱傭。 不管買取何種僱傭形式。滲透測試者都要幵展滲透測試:利用與惡意攻擊者相同的技術、策略和手段,對給定組織結構的安全性進行調查、評估和測試。滲透測試者與惡意攻擊者的主要不同在於目的以及是否獲得所評估系統的所有者的法律許可。此外,滲透測試者不得向除客戶指定人員之外的任何人透露測試結果。為保證雙方權益,僱用者通常會與滲透測試者簽署一份保密協議 (Nondiselosure Agrerment, NDA)。這麼做既可以保護公司的財產,又可允許滲透測試者訪問內部資源。最終,滲透測試者根據合同為公司服務,而合同規定了哪些行為是違規的以及在測試結束時滲透測試者需要提交哪些內容。合同的所有細節取決於組織機構的具體需求。
其他一些術語也常用於稱呼滲透測試者:滲透測試人員、道德駭客和白帽駭客。所有這些術語都是正確的,它們描述的是同一類人員 (儘管在某些場合有的人可能會就這些明顯的近義詞展開討論)。通常情況下,最常用的是滲透測試者。不過國際電子商務顧問局 (EC-Council) 在它自己的證書 “道德駭客認證 (Certifed Ethical Hacker)〞 中使用的是 “道德駭客” 這一稱呼。
為了保險起見,不想造成困擾的專業人士應避免使用 “駭客一詞”,以免引起客戶可能的恐慌。“滲透測試者” 這一術語應是首選。
在某些場合,“什麼人才算是駭客” 一直是一個熱議話題。許多駭客壞事做盡、百無一益,電影、電視劇、書籍以及其他媒體上也往往正是這樣描述他們的。然而駭客也在進化,這一術語不再指那些從事犯罪的人。事實上,很多駭客已經表明,儘管他們具備犯罪和毀滅的能力,但他們更有興趣的是與客戶和他人交流以幫助他們提高安全性或進行相應研究。
識別對手
在現實世界中,可以對駭客分門別類,以區分他們的技能和意圖。
指令碼小子
此類駭客只獲得了有限的訓練或完全末經訓練,只知道如何使用基本的工具或技術。他們甚至可能完全不理解自己正在做什麼。
白帽駭客
此類駭客按照攻擊團隊的方式思考,但為好人服務。一般認為他們的特徵是,有著一套通常被視為道德規範的 “不造成任何損害” 的原則。這個群體也被稱為滲透測試者。
灰帽駭客
此類黑客遊走在黑白兩道之間,現己決定改弦更張,棄惡從善。但即使己改過自新,仍不能完全信任他們。另外,在現代安全界這關人員也會發現並利用漏洞,而後將結果提供給供應商,可能免費,也可能換取某種形式的報酬。
黑帽駭客
此類駭客是違反法律的惡徒。他們的行動可能有一定的計劃,也可能毫無規律可言。在大多數情況下,黑帽駭客的做法和徹頭徹尾的犯罪行為之間並沒有太大區別。
網路恐怖分子
網路恐怖分子是一種新形式的攻擊者,他們試圖摧毀目標而不考慮隱藏身份。本質上他們是為證明某個觀點,而並不擔心被捕或入獄。

