Det finns i huvudsak två huvudtyper av penetrationstestmetodologi – intern och branschstandard – även om inom dessa finns ett nästan obegränsat antal variationer. En intern metodik är en metod som utvecklats av ett företag, vanligtvis den som utför testet, för att användas av dess anställda. Branschstandardmetoder, å andra sidan, är de som utvecklats av stora säkerhetsorganisationer för användning av andra företag i ett försök att göra en standardmetodik som är allmänt erkänd och godkänd. Båda typerna av penetrationstestmetodologi kan vara effektiva, och den bästa för ett speciellt penetrationstest beror vanligtvis mycket på den person som utför testet.
En penetrationstestmetod är en serie regler eller riktlinjer som används för att utföra penetrationstestning på ett datorsystem eller nätverk. Denna typ av testning görs vanligtvis för att avgöra vilka möjliga svagheter det kan finnas i ett system som kan användas av hackare för att starta en attack mot det systemet. När den här inledande analysen är klar, startar testaren vanligtvis en simulerad attack mot systemet för att avgöra hur sårbara dessa svagheter är. En penetrationstestmetod används ofta för att bestämma hur denna sekvens av utvärdering och testning ska utföras, och för att ge testare riktlinjer för att dokumentera proceduren.
En av de vanligaste typerna av penetrationstestmetodik är en intern metodik. Detta är ett dokument skapat av ett företag för att användas av dess anställda när de utför penetrationstester på ett system. En intern penetrationstestmetod kan utarbetas av ett företag som har anlitat någon för att utföra tester på sitt system, eller av ett företag som hyr ut sina tjänster till andra företag för att testa dem. Denna typ av metod kan föredras av vissa testare, eftersom den följer den säkerställer att alla klagomål som klienten kan ha om testningen kan bestridas med den metod som klienten tillhandahåller testaren.
En branschstandard penetrationstestmetod, å andra sidan, är ett dokument skapat av ett datasäkerhetsföretag för användning av andra testare. Denna typ av metodik är vanligtvis avsedd att användas av testare som inte är anställda av företaget som skapade den. En av fördelarna med denna typ av metodik är att testare lättare kan peka på en enda enhetlig metod genom vilken de kan lära sig och visa sin kompetens. Bristerna med en branschstandard penetrationstestmetod är dock att företag kanske inte gillar alla metoder som ställs in i den, och det kan vara svårt att avgöra vilken metod som verkligen fungerar som en branschstandard.