skuteczność testu penetracyjnego w dużym stopniu zależy od kompetencji i stanu wiedzy zespołu testującego? W przeciwieństwie do audytu bezpieczeństwa, test penetracyjny nie musi odbywać się według konkretnej metodologii, której zmodelowanie byłoby trudne ze względu na bardzo dynamicznie zmieniający się stan wiedzy (np. nowe wirusy, exploity itp.).
Test penetracyjny może być prowadzony przy różnym poziomie wiedzy zespołu testującego, z dwiema skrajnymi wartościami:
Test penetracyjny z minimalną wiedzą (black box) – w największym stopniu stara się odzwierciedlić rzeczywistą wiedzę potencjalnego włamywacza, w związku z czym zespół testujący otrzymuje np. wyłącznie adres serwisu.
Test penetracyjny z pełną wiedzą (white box) – zespół testujący ma pełny dostęp do dokumentacji projektowej, kodu źródłowego, konfiguracji urządzeń sieciowych itd. W przypadku opierania się wyłącznie na tej wiedzy można mówić o „przeglądzie kodu” lub „przeglądzie konfiguracji”. Wadą takiego podejścia jest możliwość pominięcia rozbieżności pomiędzy stanem udokumentowanym a stanem faktycznym.
Testy penetracyjne grey box są kompromisem pomiędzy black box i white box i zawierają elementy obu podejść.