Pada dasarnya ada dua jenis utama metodologi pengujian penetrasi — standar in-house dan industri — meskipun di dalamnya terdapat jumlah variasi yang hampir tak terbatas. Metodologi internal adalah metodologi yang dikembangkan oleh perusahaan, biasanya yang melakukan pengujian, untuk digunakan oleh karyawannya. Metodologi standar industri, di sisi lain, adalah yang dikembangkan oleh organisasi keamanan besar untuk digunakan oleh perusahaan lain dalam upaya membuat metodologi standar yang diakui dan disetujui secara universal. Kedua jenis metodologi uji penetrasi bisa efektif, dan yang terbaik untuk uji penetrasi tertentu biasanya sangat bergantung pada orang yang melakukan pengujian.
Metodologi pengujian penetrasi adalah serangkaian aturan atau pedoman yang digunakan untuk melakukan pengujian penetrasi pada sistem komputer atau jaringan. Jenis pengujian ini biasanya dilakukan untuk menentukan kemungkinan kelemahan yang mungkin ada dalam sistem yang dapat digunakan oleh peretas untuk meluncurkan serangan terhadap sistem tersebut. Setelah analisis awal ini selesai, maka penguji biasanya meluncurkan serangan simulasi terhadap sistem untuk menentukan seberapa rentan kelemahan tersebut. Metodologi pengujian penetrasi sering digunakan untuk menentukan bagaimana urutan evaluasi dan pengujian ini harus dilakukan, dan untuk memberikan panduan bagi penguji untuk mendokumentasikan prosedur.
Salah satu jenis metodologi pengujian penetrasi yang paling umum adalah metodologi internal. Ini adalah dokumen yang dibuat oleh perusahaan untuk digunakan oleh karyawannya saat mereka melakukan tes penetrasi pada suatu sistem. Metodologi pengujian penetrasi internal dapat disiapkan oleh perusahaan yang mempekerjakan seseorang untuk melakukan pengujian pada sistemnya, atau oleh perusahaan yang menyewakan layanannya kepada bisnis lain untuk mengujinya. Jenis metodologi ini mungkin lebih disukai oleh beberapa penguji, karena mengikutinya memastikan bahwa setiap keluhan yang mungkin dimiliki klien tentang pengujian dapat dibantah dengan menggunakan metodologi yang disediakan oleh klien untuk penguji.
Sebaliknya, metodologi uji penetrasi standar industri adalah dokumen yang dibuat oleh perusahaan keamanan komputer untuk digunakan oleh penguji lain. Jenis metodologi ini biasanya dimaksudkan untuk digunakan oleh penguji yang tidak dipekerjakan oleh perusahaan yang membuatnya. Salah satu manfaat dari jenis metodologi ini adalah penguji dapat lebih mudah menunjuk ke satu metode terpadu yang dengannya mereka dapat belajar dan mendemonstrasikan kompetensi mereka. Namun, kekurangan dari metodologi uji penetrasi standar industri adalah bahwa perusahaan mungkin tidak menyukai semua metode yang ada di dalamnya, dan mungkin sulit untuk menentukan metode mana yang benar-benar berfungsi sebagai standar industri.