Существует три вида пентестов, которые отличаются по количеству информации о системе, которая есть у пентестера перед началом процедуры: 1

1. Белый ящик. 1 В этом случае пентестер получает полную информацию о системе: устройстве сети, средствах защиты, исходном коде, процессах и так далее. 1
2. Чёрный ящик. 1 Тестировщики действуют с нуля: сами ищут информацию, изучают систему. 1
3. Серый ящик. 1 Специалист получает ограниченную информацию о системе. 1

Отличие заключается в том, что при белом ящике пентестер имеет полный доступ к внутренней структуре и дизайну системы, а при чёрном ящике — тестировщики оценивают функции и работу программы, ориентируясь исключительно на интерфейс взаимодействия. 27 Серый ящик считается промежуточным вариантом: тестировщик может видеть часть кода или иметь доступ к внутренним настройкам продукта, недоступным обычному пользователю. 2

Также по методу различают внутреннее и внешнее тестирование на проникновение: 3

• Внутренний пентест происходит во внутренней среде заказчика, например, в роли внутреннего пользователя. 3 Тестировщик имеет доступ к локальной сети организации. 3
• Внешний пентест предполагает проведение процесса в роли «стороннего лица». 3 Тестировщик не имеет доступа к системе и использует уязвимости и различные ошибки для проникновения внутрь сети. 3