U osnovi postoje dvije glavne vrste metodologije ispitivanja penetracije — interna i industrijski standard — iako unutar njih postoji gotovo neograničen broj varijacija. In-house metodologija je ona koju je razvila tvrtka, obično ona koja provodi test, za korištenje od strane svojih zaposlenika. S druge strane, standardne metodologije industrije su one koje su razvile velike sigurnosne organizacije za korištenje od strane drugih tvrtki u pokušaju izrade standardne metodologije koja je univerzalno priznata i odobrena. Obje vrste metodologije penetracijskog testa mogu biti učinkovite, a najbolja za bilo koji određeni penetracijski test obično uvelike ovisi o osobi koja izvodi test.
Metodologija penetracijskog testa je niz pravila ili smjernica koje se koriste za provođenje testiranja penetracije na računalni sustav ili mrežu. Ova vrsta testiranja obično se radi kako bi se utvrdilo koje moguće slabosti mogu postojati u sustavu koje hakeri mogu koristiti za pokretanje napada na taj sustav. Kada se ova početna analiza završi, tester obično pokreće simulirani napad na sustav kako bi utvrdio koliko su te slabosti ranjive. Metodologija penetracijskog testa često se koristi kako bi se utvrdilo kako se ovaj slijed evaluacije i testiranja treba provesti, te da bi se ispitivačima dale smjernice za dokumentiranje postupka.
Jedna od najčešćih vrsta metodologije penetracijskog testa je interna metodologija. Ovo je dokument koji je izradila tvrtka za korištenje svojim zaposlenicima dok provode testove penetracije na sustavu. Metodologiju internog penetracijskog testiranja može pripremiti tvrtka koja je angažirala nekoga da izvrši testiranje na svom sustavu ili tvrtka koja unajmljuje svoje usluge drugim tvrtkama da ih testiraju. Neki testeri mogu preferirati ovu vrstu metodologije jer se njome osigurava da se sve pritužbe koje klijent može osporiti u vezi s testiranjem mogu osporiti korištenjem metodologije koju je klijent dostavio za testera.
Industrijska standardna metodologija penetracijskog testiranja, s druge strane, je dokument koji je izradila tvrtka za računalnu sigurnost za korištenje od strane drugih testera. Ova vrsta metodologije obično je namijenjena za korištenje od strane testera koji nisu zaposleni u tvrtki koja ju je stvorila. Jedna od prednosti ove vrste metodologije je da testeri mogu lakše ukazati na jedinstvenu, jedinstvenu metodu pomoću koje mogu naučiti i pokazati svoju kompetenciju. Nedostaci standardne metodologije ispitivanja penetracije su u tome što se tvrtkama možda neće svidjeti sve metode postavljene u njoj i može biti teško odrediti koja metoda uistinu djeluje kao industrijski standard.