Существуют два основных типа методологии тестирования на проникновение - внутренний и отраслевой стандарт, хотя в них практически неограниченное количество вариаций. Внутренняя методология - это методика, разработанная компанией, обычно выполняющая тестирование, для использования ее сотрудниками. С другой стороны, отраслевые стандартные методологии - это методологии, разработанные крупными организациями по обеспечению безопасности для использования другими компаниями в попытке создать стандартную методологию, которая будет общепризнана и одобрена. Оба типа методологии тестирования на проникновение могут быть эффективными, и наилучший метод для любого конкретного теста на проникновение обычно во многом зависит от человека, выполняющего тест.

Методология тестирования на проникновение представляет собой серию правил или рекомендаций, используемых для проведения тестирования на проникновение в компьютерной системе или сети. Этот тип тестирования обычно проводится для определения возможных слабых мест в системе, которые могут быть использованы хакерами для запуска атаки на эту систему. После завершения первоначального анализа тестер обычно запускает симулированную атаку на систему, чтобы определить, насколько уязвимы эти слабые стороны. Методология тестирования на проникновение часто используется для определения того, как следует проводить эту последовательность оценки и тестирования, и для предоставления тестировщикам руководящих принципов для документирования процедуры.

Одним из наиболее распространенных типов методологии испытаний на проникновение является собственная методология. Это документ, созданный компанией для использования ее сотрудниками при выполнении тестов на проникновение в систему. Внутренняя методология тестирования на проникновение может быть подготовлена ​​компанией, которая наняла кого-либо для проведения тестирования своей системы, или компанией, которая нанимает свои услуги другим компаниям для их тестирования. Этот тип методологии может быть предпочтительным для некоторых тестировщиков, так как он гарантирует, что любые жалобы, которые могут возникнуть у клиента по поводу тестирования, могут быть оспорены с использованием методологии, предоставленной клиентом для тестировщика.

С другой стороны, стандартная методология тестирования на проникновение - это документ, созданный компанией по компьютерной безопасности для использования другими тестировщиками. Этот тип методологии обычно предназначен для использования тестировщиками, не работающими в компании, которая его создала. Одним из преимуществ этого типа методологии является то, что тестировщикам легче указывать на единый унифицированный метод, с помощью которого они могут учиться и демонстрировать свою компетентность. Однако недостатки методологии тестирования на проникновение в соответствии с отраслевыми стандартами заключаются в том, что компаниям может не понравиться все установленные в ней методы, и может быть трудно определить, какой метод действительно действует в качестве отраслевого стандарта.