Zasadniczo istnieją dwa główne rodzaje metodologii testów penetracyjnych — wewnętrzne i branżowe — chociaż w ramach nich istnieje prawie nieograniczona liczba odmian. Metodologia wewnętrzna to metoda opracowana przez firmę, zazwyczaj przeprowadzająca test, do użytku przez jej pracowników. Z drugiej strony, metodologie branżowe to te opracowane przez główne organizacje bezpieczeństwa do użytku przez inne firmy w celu stworzenia standardowej metodologii, która będzie powszechnie uznana i zatwierdzona. Oba rodzaje metodologii testów penetracyjnych mogą być skuteczne, a najlepsza dla danego testu penetracyjnego zwykle w dużej mierze zależy od osoby przeprowadzającej test.
Metodologia testów penetracyjnych to szereg zasad lub wytycznych używanych do przeprowadzania testów penetracyjnych w systemie komputerowym lub sieci. Ten rodzaj testów jest zwykle wykonywany w celu określenia ewentualnych słabości systemu, które mogą być wykorzystane przez hakerów do przeprowadzenia ataku na ten system. Po zakończeniu wstępnej analizy tester zazwyczaj przeprowadza symulowany atak na system, aby określić, jak podatne są te słabości. Metodologia testów penetracyjnych jest często używana do określenia, w jaki sposób ta sekwencja ewaluacji i testowania powinna zostać przeprowadzona oraz aby zapewnić testerom wytyczne dotyczące dokumentowania procedury.
Jednym z najczęstszych rodzajów metodologii testów penetracyjnych jest metodologia wewnętrzna. Jest to dokument stworzony przez firmę do użytku przez jej pracowników podczas przeprowadzania testów penetracyjnych w systemie. Wewnętrzną metodologię testów penetracyjnych może przygotować firma, która zatrudniła kogoś do przeprowadzenia testów swojego systemu, lub firma, która wynajmuje swoje usługi innym firmom w celu ich przetestowania. Ten rodzaj metodologii może być preferowany przez niektórych testerów, ponieważ przestrzeganie tego zapewnia, że wszelkie skargi klienta dotyczące testowania mogą być kwestionowane przy użyciu metodologii dostarczonej przez klienta dla testera.
Z drugiej strony, branżowa metodologia testów penetracyjnych to dokument stworzony przez firmę zajmującą się bezpieczeństwem komputerowym do użytku przez innych testerów. Ten rodzaj metodologii jest zwykle przeznaczony dla testerów niezatrudnionych przez firmę, która ją stworzyła. Jedną z zalet tego typu metodologii jest to, że testerzy mogą łatwiej wskazać jedną, ujednoliconą metodę, dzięki której mogą uczyć się i demonstrować swoje kompetencje. Wady metodologii testów penetracyjnych standardu branżowego polegają jednak na tym, że firmy mogą nie lubić wszystkich skonfigurowanych w niej metod i może być trudno określić, która metoda naprawdę działa jako standard branżowy.