Esasen iki ana penetrasyon testi metodolojisi vardır - ev içi ve endüstri standardı - bunların içinde neredeyse sınırsız sayıda varyasyon vardır. Kurum içi bir metodoloji, çalışanlar tarafından kullanılmak üzere tipik olarak testi yapan şirket tarafından geliştirilen bir yöntemdir. Endüstri standardı metodolojiler, diğer şirketler tarafından evrensel olarak tanınan ve onaylanan standart bir metodoloji yapmak amacıyla kullanılmak üzere büyük güvenlik kuruluşları tarafından geliştirilenlerdir. Her iki penetrasyon testi metodolojisi de etkili olabilir ve herhangi bir özel penetrasyon testi için en iyisi genellikle testi yapan kişiye büyük ölçüde bağlıdır.
Bir penetrasyon testi metodolojisi, bir bilgisayar sistemi veya ağ üzerinde penetrasyon testi yapmak için kullanılan bir dizi kural veya kılavuzdur. Bu tür testler, genellikle bilgisayar korsanları tarafından bu sisteme bir saldırı başlatmak için kullanılabilecek bir sistemde olası zayıflıkları belirlemek için yapılır. Bu ilk analiz tamamlandığında, test cihazı genellikle bu zayıflıkların ne kadar savunmasız olduğunu belirlemek için sisteme karşı simüle bir saldırı başlattı. Bu değerlendirme ve test dizisinin nasıl yapılmasının gerektiğini belirlemek ve test edicilere prosedürü belgelemek için kılavuzlar sağlamak amacıyla bir penetrasyon testi metodolojisi sıklıkla kullanılır.
En yaygın penetrasyon testi metodolojilerinden biri kurum içi metodolojidir. Bu, bir şirket tarafından çalışanlar tarafından bir sistemde penetrasyon testleri gerçekleştirdikleri için kullanılmak üzere oluşturulan bir belgedir. Kurum içi penetrasyon testi metodolojisi, sistemi üzerinde test yapmak için birini kiralayan bir şirket veya bunları test etmek için hizmetlerini başka işletmelere kiralayan bir şirket tarafından hazırlanabilir. Bu tür bir metodoloji, bazı test uzmanları tarafından tercih edilebilir, aşağıdaki şekilde, müşterinin test ile ilgili herhangi bir şikayeti, müşteri tarafından test cihazı için sağlanan metodoloji kullanılarak tartışılabilir.
Endüstri standardı penetrasyon testi metodolojisi, diğer test bilgisayarları tarafından kullanılmak üzere bir bilgisayar güvenlik şirketi tarafından oluşturulan bir belgedir. Bu tür bir metodoloji genellikle onu oluşturan şirket tarafından kullanılmayan test cihazları tarafından kullanılmak üzere tasarlanmıştır. Bu tür bir metodolojinin faydalarından biri, test uzmanlarının, öğrenebilecekleri ve yetkinliklerini gösterebilecekleri tek ve birleşik bir yöntemi daha kolay işaret edebilmeleridir. Bununla birlikte, bir endüstri standardı penetrasyon testi metodolojisine sahip olan hatalar, şirketlerin içinde oluşturulan tüm metotları beğenmeyebileceği ve hangi yöntemin gerçekten bir endüstri standardı olarak hareket edeceğini belirlemek zor olabilir.
