Используемый инструментарий во многом зависит предпочтений эксперта и от стоящих задач, экспертности оценщика. Не существует формальных требований по использованию того или иного инструментария. Потенциальные уязвимости идентифицируются по свидетельствам, полученным на основании знаний и опыта специалиста. Для этого эксперт, занимающийся пентестами, должен обладать обширным набором знаний и навыков в области информационных технологий, их архитектуры, особенностей эксплуатации информационных систем, программировании, знаниями в области оценки уязвимостей, жизненного цикла ПО, криптографии, различных протоколов передачи информации, авторизации и аутентификации и других сферах. Помимо знаний, специалист должен обладать гибким интеллектом, навыками поиска и анализа информации, широким кругозором не только в сфере IT, но и в смежных областях.