Il existe essentiellement deux grands types de méthodologie de test de pénétration - en interne et standard de l'industrie - bien au sein de ceux-ci sont un nombre presque illimité de variations. Une méthodologie en interne est celui développée par une société, généralement celle d'effectuer le test, pour une utilisation par ses employés. Les méthodologies standard d’industrie, d'autre part, sont ceux développés par les organismes de sécurité majeurs pour l'utilisation par d'autres sociétés dans une tentative de faire une méthodologie standard qui est universellement reconnu et approuvé. Les deux types de méthodologie de test de pénétration peuvent être efficaces, et le meilleur pour tout test de pénétration particulier dépend généralement beaucoup sur la personne qui effectue le test.
Une méthodologie de test de pénétration est une série de règles ou lignes directrices utilisées pour effectuer des tests de pénétration sur un système ou un réseau informatique. Ce type de test est généralement effectué pour déterminer ce que les faiblesses possible il peut y avoir dans un système qui peut être utilisé par les pirates pour lancer une attaque sur ce système. Une fois cette première analyse est terminée, puis le testeur lance généralement une attaque simulée contre le système pour déterminer la vulnérabilité de ces faiblesses. Une méthodologie de test de pénétration est souvent utilisé pour déterminer à quel point cette séquence d'évaluation et de test devrait être effectué, et de fournir des lignes directrices pour les testeurs de documenter la procédure.
L'un des types les plus communs de la méthodologie de test de pénétration est une méthodologie en interne. Ceci est un document créé par une entreprise pour ses employés, car ils sont la réalisation de tests de pénétration sur un système. Une méthodologie de test de pénétration en interne peut être préparée par une entreprise qui a embauché quelqu'un pour effectuer des tests sur son système, ou par une société qui loue ses services à d'autres entreprises afin de les tester. Ce type de méthodologie peut être préféré par certains testeurs, comme suit, il veille à ce que toutes les plaintes le client peut avoir sur les essais peuvent être contestés en utilisant la méthodologie fournie par le client pour le testeur.
Une méthodologie de test de pénétration de la norme de l'industrie, d'autre part, est un document créé par une entreprise de sécurité informatique pour une utilisation par d'autres testeurs. Ce type de méthode est généralement destiné à être utilisé par les testeurs ne sont pas employées par la société qui l'a créé. Un des avantages de ce type de méthode est que les testeurs peuvent plus facilement pointer vers une méthode unique et unifiée par lequel ils peuvent apprendre et de démontrer leur compétence. Les défauts avec une méthodologie de test de pénétration standard de l'industrie, cependant, ne sont que les entreprises peuvent ne pas aimer toutes les méthodes mises en place en elle, et il peut être difficile de déterminer la méthode qui agit vraiment comme un standard de l'industrie.