Existem essencialmente dois tipos principais de metodologia de teste de penetração - padrão interno e da indústria - embora, dentro deles, haja um número quase ilimitado de variações. Uma metodologia interna é aquela desenvolvida por uma empresa, normalmente a que executa o teste, para uso de seus funcionários. Metodologias padrão do setor, por outro lado, são aquelas desenvolvidas pelas principais organizações de segurança para uso de outras empresas na tentativa de criar uma metodologia padrão universalmente reconhecida e aprovada. Ambos os tipos de metodologia de teste de penetração podem ser eficazes, e o melhor para qualquer teste de penetração específico geralmente depende muito da pessoa que está realizando o teste.

Uma metodologia de teste de penetração é uma série de regras ou diretrizes usadas para executar o teste de penetração em um sistema ou rede de computadores. Esse tipo de teste geralmente é feito para determinar quais possíveis pontos fracos podem existir em um sistema que pode ser usado por hackers para iniciar um ataque a esse sistema. Quando essa análise inicial é concluída, o testador normalmente lança um ataque simulado contra o sistema para determinar o quão vulneráveis ​​são essas fraquezas. Uma metodologia de teste de penetração é freqüentemente usada para determinar como essa sequência de avaliação e teste deve ser realizada e para fornecer aos testadores diretrizes para documentar o procedimento.

Um dos tipos mais comuns de metodologia de teste de penetração é uma metodologia interna. Este é um documento criado por uma empresa para ser usado por seus funcionários enquanto eles executam testes de penetração em um sistema. Uma metodologia interna de teste de penetração pode ser preparada por uma empresa que contratou alguém para realizar testes em seu sistema ou por uma empresa que contrata seus serviços para outras empresas para testá-los. Este tipo de metodologia pode ser preferido por alguns testadores, pois, a seguir, garante que qualquer reclamação que o cliente possa ter sobre o teste possa ser contestada usando a metodologia fornecida pelo cliente para o testador.

Uma metodologia de teste de penetração padrão da indústria, por outro lado, é um documento criado por uma empresa de segurança de computadores para uso por outros testadores. Esse tipo de metodologia geralmente se destina ao uso por testadores não empregados pela empresa que o criou. Um dos benefícios desse tipo de metodologia é que os testadores podem apontar com mais facilidade para um método único e unificado pelo qual possam aprender e demonstrar sua competência. As falhas de uma metodologia de teste de penetração padrão da indústria, no entanto, são que as empresas podem não gostar de todos os métodos estabelecidos nela, e pode ser difícil determinar qual método realmente atua como um padrão da indústria.