red box (conhecido como teste de penetração externo) ocorre quando o pen tester recebe pouca ou nenhuma informação sobre a infraestrutura de TI da empresa e visa simular um ataque cibernético do mundo real, no qual o testador assume o papel de um invasor desinformado. 

social engineering é usado para descobrir vulnerabilidades ou pontos fracos de segurança em aplicativos baseados na web e usa diferentes técnicas de penetração e ataques com o objetivo de invadir o próprio aplicativo da web.

black box envolve identificar e examinar as conexões entre todos os dispositivos conectados à rede wireless da empresa, incluindo laptops, tablets, smartphones e qualquer outro dispositivo da Internet das Coisas (IoT).

white box ocorre quando o testador tem total conhecimento e acesso ao código-fonte, visando realizar uma auditoria de segurança detalhada dos sistemas da empresa e fornecer ao pen tester o máximo de detalhes possível. 

logical visa expor fraquezas e vulnerabilidades em controles lógicos (fechaduras, barreiras, câmeras ou sensores) para que as falhas e pontos fracos possam ser mitigados e soluções implementadas para fortalecer a segurança lógica.