Esistono essenzialmente due tipi principali di metodologia di test di penetrazione: standard interni e di settore, sebbene all’interno di questi vi sia un numero quasi illimitato di variazioni. Una metodologia interna è quella sviluppata da un’azienda, tipicamente quella che esegue il test, per essere utilizzata dai suoi dipendenti. Le metodologie standard del settore, d’altra parte, sono quelle sviluppate dalle principali organizzazioni di sicurezza per essere utilizzate da altre aziende nel tentativo di creare una metodologia standard universalmente riconosciuta e approvata. Entrambi i tipi di metodologia del test di penetrazione possono essere efficaci e il migliore per un particolare test di penetrazione di solito dipende molto dalla persona che esegue il test.
Una metodologia di test di penetrazione è una serie di regole o linee guida utilizzate per eseguire test di penetrazione su un sistema informatico o una rete. Questo tipo di test viene in genere eseguito per determinare quali possibili punti deboli potrebbero esserci in un sistema che possono essere utilizzati dagli hacker per lanciare un attacco su quel sistema. Una volta completata questa analisi iniziale, il tester lancia in genere un attacco simulato contro il sistema per determinare quanto siano vulnerabili tali punti deboli. Una metodologia di test di penetrazione viene spesso utilizzata per determinare come deve essere condotta questa sequenza di valutazione e test e per fornire ai tester linee guida per documentare la procedura.
Uno dei tipi più comuni di metodologia di test di penetrazione è una metodologia interna. Questo è un documento creato da un’azienda per essere utilizzato dai suoi dipendenti mentre eseguono test di penetrazione su un sistema. Una metodologia di test di penetrazione interna può essere preparata da un’azienda che ha assunto qualcuno per eseguire test sul proprio sistema o da un’azienda che noleggia i propri servizi ad altre aziende per testarli. Questo tipo di metodologia può essere preferito da alcuni tester, poiché in seguito garantisce che eventuali reclami che il cliente potrebbe avere in merito al test possano essere contestati utilizzando la metodologia fornita dal cliente per il tester.
Una metodologia di test di penetrazione standard del settore, d’altra parte, è un documento creato da una società di sicurezza informatica per l’utilizzo da parte di altri tester. Questo tipo di metodologia è solitamente destinato all’uso da parte di tester non impiegati dalla società che l’ha creata. Uno dei vantaggi di questo tipo di metodologia è che i tester possono indicare più facilmente un metodo unico e unificato con cui possono apprendere e dimostrare la propria competenza. I difetti di una metodologia di test di penetrazione standard del settore, tuttavia, sono che alle aziende potrebbero non piacere tutti i metodi impostati al suo interno e può essere difficile determinare quale metodo funge veramente da standard del settore.