Básicamente, existen dos tipos principales de metodología de prueba de penetración: interna y estándar de la industria, aunque dentro de estos hay un número casi ilimitado de variaciones. Una metodología interna es la desarrollada por una empresa, generalmente la que realiza la prueba, para que la utilicen sus empleados. Las metodologías estándar de la industria, por otro lado, son aquellas desarrolladas por las principales organizaciones de seguridad para que las utilicen otras empresas en un intento de crear una metodología estándar que sea reconocida y aprobada universalmente. Ambos tipos de metodología de prueba de penetración pueden ser efectivos, y la mejor para cualquier prueba de penetración en particular generalmente depende en gran medida de la persona que realiza la prueba.
Una metodología de prueba de penetración es una serie de reglas o pautas que se utilizan para realizar pruebas de penetración en un sistema informático o red. Este tipo de prueba generalmente se realiza para determinar qué posibles debilidades puede haber en un sistema que los piratas informáticos pueden utilizar para lanzar un ataque en ese sistema. Una vez que se completa este análisis inicial, el evaluador generalmente lanza un ataque simulado contra el sistema para determinar cuán vulnerables son esas debilidades. A menudo se utiliza una metodología de prueba de penetración para determinar cómo se debe realizar esta secuencia de evaluación y prueba, y para proporcionar a los evaluadores pautas para documentar el procedimiento.
Uno de los tipos más comunes de metodología de prueba de penetración es una metodología interna. Este es un documento creado por una empresa para que lo utilicen sus empleados mientras realizan pruebas de penetración en un sistema. Una metodología de prueba de penetración interna puede ser preparada por una empresa que haya contratado a alguien para realizar pruebas en su sistema, o por una empresa que contrate sus servicios a otras empresas para que las prueben. Algunos probadores pueden preferir este tipo de metodología, ya que su seguimiento garantiza que cualquier queja que el cliente pueda tener sobre las pruebas puede ser impugnada utilizando la metodología proporcionada por el cliente para el probador.
Una metodología de prueba de penetración estándar de la industria, por otro lado, es un documento creado por una empresa de seguridad informática para que lo utilicen otros evaluadores. Este tipo de metodología suele estar destinada a probadores que no son empleados de la empresa que la creó. Uno de los beneficios de este tipo de metodología es que los evaluadores pueden señalar más fácilmente un método único y unificado mediante el cual pueden aprender y demostrar su competencia. Sin embargo, los defectos de una metodología de prueba de penetración estándar de la industria son que a las empresas puede que no les gusten todos los métodos establecidos en ella, y puede ser difícil determinar qué método actúa realmente como estándar de la industria.