Básicamente, existen dos tipos principales de metodología de prueba de penetración: estándar interno y estándar de la industria, aunque dentro de estos hay un número casi ilimitado de variaciones. Una metodología interna es una desarrollada por una compañía, típicamente la que realiza la prueba, para uso de sus empleados. Las metodologías estándar de la industria, por otro lado, son aquellas desarrolladas por las principales organizaciones de seguridad para el uso de otras compañías en un intento de hacer una metodología estándar que sea universalmente reconocida y aprobada. Ambos tipos de metodología de prueba de penetración pueden ser efectivos, y la mejor para cualquier prueba de penetración en particular generalmente depende en gran medida de la persona que realiza la prueba.

Una metodología de prueba de penetración es una serie de reglas o pautas utilizadas para realizar pruebas de penetración en un sistema informático o red. Este tipo de prueba generalmente se realiza para determinar qué posibles debilidades puede haber en un sistema que los piratas informáticos pueden utilizar para lanzar un ataque contra ese sistema. Una vez que se completa este análisis inicial, el probador generalmente lanza un ataque simulado contra el sistema para determinar cuán vulnerables son esas debilidades. A menudo se usa una metodología de prueba de penetración para determinar cómo se debe llevar a cabo esta secuencia de evaluación y prueba, y para proporcionar a los evaluadores pautas para documentar el procedimiento.

Uno de los tipos más comunes de metodología de prueba de penetración es una metodología interna. Este es un documento creado por una empresa para que lo utilicen sus empleados mientras realizan pruebas de penetración en un sistema. Una empresa que ha contratado a alguien para realizar pruebas en su sistema puede preparar una metodología de prueba de penetración interna, o una empresa que contrata sus servicios a otras empresas para probarlos. Algunos probadores pueden preferir este tipo de metodología, ya que el siguiente asegura que cualquier queja que el cliente pueda tener sobre la prueba pueda ser disputada usando la metodología provista por el cliente para el probador.

Una metodología de prueba de penetración estándar de la industria, por otro lado, es un documento creado por una compañía de seguridad informática para uso de otros probadores. Este tipo de metodología generalmente está destinada a ser utilizada por probadores no empleados por la compañía que la creó. Uno de los beneficios de este tipo de metodología es que los evaluadores pueden señalar más fácilmente un método único y unificado mediante el cual pueden aprender y demostrar su competencia. Sin embargo, las fallas con una metodología de prueba de penetración estándar de la industria son que a las compañías puede no gustarles todos los métodos establecidos, y puede ser difícil determinar qué método realmente actúa como un estándar de la industria.