Live-данные · обновлено 18.07.26

Пентестер (этичный хакер): кто это и чем занимается

Пентестер работает как этичный хакер: проверяет защиту в разрешённом периметре, доказывает риск безопасным способом и оформляет результат так, чтобы команда могла исправить проблему.

АСАндрей Соловьёв·Senior AppSec / Pentest Engineer·Проводит легальные проверки web/API, инфраструктуры и внутренних контуров, помогает командам исправлять подтверждённые риски · 10+ лет в информационной безопасности, AppSec, пентесте и security review
Вакансии
21
Москва и МО · 18.07.26
Оценка зарплаты
235 000 ₽
Оценка по профессии и близкому рынку · оценка обновлена 18.07.26
Спрос
11 / 100
Низкий · #49
Уровень
Middle
50% вакансий
Формат
гибридный формат
удал. 5% · гибрид 57% · офис 38%
Выборка зарплат
6
вакансий с зарплатой
Рыночный вывод

Свежие данные рынка: 21 активных вакансий, зарплатная оценка 235 000 ₽, спрос 11/100. Срез по Москве и МО от 18.07.2026.

Для пентестера сейчас используется estimated-зарплата: SkillStat считает оценку по профессии и близкому рынку, потому что в активном срезе мало вакансий с открытой зарплатной вилкой. Опора оценки — n=6, уверенность низкая, поэтому диапазон, позиция в зарплатном рейтинге и грейдовые зарплаты не показываются.

Коротко о профессии

Пентест начинается не с инструмента, а с договорённости: что можно проверять, какие аккаунты и среды разрешены, какие действия запрещены, кто принимает инциденты и как фиксируются доказательства. Эта рамка отделяет профессию от несанкционированного доступа.

Итог работы - отчёт для бизнеса, разработки и команды безопасности. В нём должны быть подтверждённый риск, понятное влияние, приоритет, доказательства без лишнего вреда, рекомендации, ответственный владелец и повторная проверка после исправления.

Для этой профессии доступны ограниченные данные. Аналитика носит ориентировочный характер.

По зарплате у профессии нет достаточной собственной актуальной выборки. Поэтому на странице показана оценка с явной маркировкой источника, а не точная медиана только по текущим активным вакансиям.

Как читать данные на странице

Числовые метрики показывают вакансии Москвы и Московской области. Описание роли, задач и навыков относится к профессии в целом.

Регион
Москва и МО
Срез
18.07.26
Зарплата
Оценка по профессии и близкому рынку
оценка обновлена 18.07.26
Выборка
n=6

Актуальные данные по профессии

Актуальный срез по вакансиям, зарплате, спросу и динамике найма для пентестера в Москве и МО.

Вакансии Количество активных вакансий на сегодня в регионе Москва и МО. Не включает закрытые или приостановленные.
21
активных вакансий
Москва и МО · текущий срез 18.07.26
Спрос 50 = средний по рынку, 100 = в 4× больше вакансий чем у средней IT-профессии. Метрика считается по актуальной выборке Москва и МО.
11
из 100
Ранг по спросу
#49 из 71
Статус
Низкий
Топ спроса
#1
Разработчик 1С
452
#2
Системный аналитик
449
#3
QA Manual
399
Оценка зарплаты
Оценка
235 000
Москва и МО · Оценка по профессии и близкому рынку · оценка обновлена 18.07.26
Рынок направления · n=70
Вакансии профессии за 60 дней · n=6
Вакансии профессии за 180 дней · n=7
Диапазон и позиция в зарплатном рейтинге не показаны: зарплата здесь — расчётная оценка, поэтому SkillStat не выводит эти значения, чтобы не создавать ложную точность.

Кто такой пентестер

Пентестер ищет уязвимости в приложениях, сетях, инфраструктуре и процессах доступа, но делает это не ради находок как таковых. Смысл работы - доказать, что конкретная слабость может привести к реальному ущербу, и объяснить команде, что нужно закрыть в первую очередь. Одна ошибка конфигурации может быть шумной, но безопасной, а другая - незаметной частью цепочки до критичных данных.

Ближайшая соседняя роль - инженер информационной безопасности. Инженер безопасности строит правила защиты, внедряет процессы, настраивает контроль и снижает риск заранее. Пентестер действует с другой стороны: проверяет, выдержит ли защита попытку обхода, можно ли расширить доступ, закрепиться в системе или перейти к более ценному ресурсу.

В этой профессии особенно важны рамки проверки. Пентестер не «ломает всё подряд»: он работает по разрешённому периметру, фиксирует действия, не разрушает данные и отделяет проверенное доказательство от предположения. Без такой дисциплины команда получает шум, а не пользу.

Рабочий объект

Уязвимости, разрешённый периметр, цепочки атаки, доказательства и приоритет исправлений

Главная ценность

Показывает, какой технический дефект реально угрожает данным, доступам или сервису

Ключевой риск

Без аккуратной проверки команда может исправлять шумные находки и пропустить опасную цепочку

Как проходит проверка

Пентестер начинает не с инструмента, а с границ: какие системы входят в работу, какие действия запрещены, кто отвечает на срочные вопросы и что считается доказательством. После этого он изучает поверхность атаки, ищет слабые места и проверяет, можно ли развить находку дальше.

Отдельная уязвимость редко говорит сама за себя. Слабый пароль, ошибка авторизации или открытый сервис становятся важными, когда понятно, к каким данным или правам они ведут. Поэтому пентестер описывает не только факт, но и путь влияния.

Финальный результат - отчёт, который можно использовать. В нём должны быть шаги воспроизведения, доказательство, уровень риска, рекомендация и условия, при которых исправление нужно проверить повторно.

По этой причине профессия требует сильной дисциплины формулировки. Недостаточно показать, что уязвимость существует; нужно объяснить, как именно она превращается в доступ, утечку, обход роли или остановку критичного действия. Чем точнее такая цепочка, тем выше польза проверки для бизнеса и команды разработки.

Где находка становится риском

Мастерство видно в умении отделять шум от угрозы. Сканер может выдать десятки предупреждений, но часть из них не применима к конкретной системе. Пентестер вручную проверяет, что действительно можно использовать и какое влияние это даст.

Особенно важны цепочки: ошибка в роли пользователя, лишний доступ к API, слабая настройка хранилища и отсутствие контроля могут по отдельности выглядеть средне, но вместе привести к критичному ущербу. Такой риск нельзя увидеть только списком CVE.

Зрелость здесь особенно хорошо видна в умении остановиться в правильный момент. Пентестер должен понимать, когда доказательства уже достаточно, чтобы подтвердить риск, и почему дальнейшее продвижение только увеличит шанс повредить данные или нарушить договорённости периметра. Это делает профессию инженерной, а не демонстрационной.

Граница с безопасностью

Пентестер не заменяет всю функцию информационной безопасности. Он не обязан постоянно поддерживать политики, обучать всех сотрудников или настраивать каждую защитную систему. Его сильная сторона - независимая проверка и доказательство риска.

Также пентест не равен автоматическому сканированию. Инструмент помогает быстро найти типовые проблемы, но вывод о реальной опасности делает человек, который понимает приложение, данные, права доступа и ограничения проверки.

Чем занимается пентестер

Работа пентестера строится вокруг разрешённого периметра, доказательства риска и понятного отчёта. Ни один этап не должен превращаться в несанкционированный доступ или вред для данных.

01

Уточняет периметр и правила проверки

До начала работы пентестер согласует с заказчиком scope: какие домены, приложения, API, сети, аккаунты и среды разрешены. Отдельно фиксируются запреты, окна проверки, контакты для экстренной связи и правила остановки, если появляется риск для бизнеса.

02

Изучает систему и документацию

Специалист разбирает архитектуру, роли пользователей, бизнес-процессы, публичные интерфейсы и доступную документацию. Это помогает проверять не только технические ошибки, но и логику продукта: права, сценарии, ограничения и критичные данные.

03

Проверяет типовые классы рисков

Пентестер смотрит web, API, инфраструктуру, доступы, конфигурации, авторизацию, хранение данных и другие зоны, которые входят в согласованный периметр. Описание проверки остаётся на уровне риска и методологии, без публикации опасных инструкций.

04

Подтверждает влияние безопасным способом

Найденная проблема должна быть доказана аккуратно: без разрушения данных, нарушения доступности и выхода за правила. Хороший специалист показывает, какой ущерб возможен, но не превращает проверку в демонстрацию вреда.

05

Описывает риск для бизнеса

Недостаточно написать, что есть техническая ошибка. В отчёте нужно объяснить, кого она затрагивает, какие данные или функции под риском, насколько реалистичен сценарий и почему исправление важно именно сейчас.

06

Готовит отчёт

Итоговый отчёт включает scope, краткое резюме, findings, impact, приоритет, доказательства, рекомендации и ограничения проверки. Формулировки должны быть понятны не только ИБ-специалисту, но и разработчику, владельцу продукта и руководителю.

07

Помогает проверить исправления

После исправления пентестер делает retest: проверяет, закрыт ли риск и не появились ли новые проблемы. Это важная часть профессии, потому что ценность пентеста измеряется не количеством находок, а снижением риска.

Какие бывают пентестеры

Вакансия «пентестер» может означать разные контуры: web, API, инфраструктуру, mobile, cloud или Red Team. Новичку лучше выбрать один первый фокус и не пытаться закрыть все направления одновременно.

Направление Что проверяет Какие знания нужны Кому подходит
Web-пентестер Сайты, личные кабинеты, формы, сессии, роли, авторизацию и бизнес-логику web-приложений. HTTP, cookies, sessions, OWASP Top 10, HTML/CSS/JS на уровне понимания, Burp Suite, отчётность. Тем, кто хочет начать с самого понятного и востребованного контура.
API-пентестер REST/GraphQL API, токены, роли, лимиты, ошибки авторизации, контракты и интеграции. HTTP, JSON, Postman, OpenAPI, auth, rate limits, бизнес-логика, логирование. Разработчикам, QA и тем, кто хорошо понимает backend-сценарии.
Infrastructure-пентестер Серверы, сетевые сервисы, сегментацию, доступы, конфигурации и внутренние контуры. TCP/IP, Linux/Windows, DNS, AD basics, Nmap на уровне анализа, hardening, отчётность. Системным администраторам, сетевым инженерам и DevOps с сильной инфраструктурной базой.
Mobile-пентестер Мобильные приложения, backend, хранение данных, сетевой обмен, permissions и платформенные ограничения. Android/iOS basics, API, mobile storage, proxying в учебной среде, secure storage, отчёты. Mobile-разработчикам, QA mobile и специалистам, которым интересны клиентские приложения.
Cloud-пентестер Облачные настройки, IAM, storage, Kubernetes, сети, секреты и права сервисных аккаунтов. Cloud basics, IAM, контейнеры, Kubernetes, Terraform/IaC на уровне риска, logging. DevOps, SRE и cloud-инженерам, которые хотят уйти в security.
Red Team-специалист Сценарную устойчивость компании: обнаружение, реакцию, коммуникацию и защитные процессы. Пентест, инфраструктура, OPSEC в легальном контексте, detection, отчётность, коммуникация. Middle/Senior-специалистам, которые уже понимают пентест и работу SOC/Blue Team.
AppSec-специалист Безопасность разработки: threat modeling, secure review, SAST/SCA, уязвимости до релиза. Разработка, OWASP, SDLC, code review, CI/CD, API, общение с инженерами. Разработчикам и пентестерам, которым интереснее предотвращать дефекты, чем искать их в конце.
OT / промышленная безопасность Промышленные сети, контроллеры, технологические контуры и системы, где ошибка может влиять на производство. Сети, промышленная автоматизация, регламенты, safety-first подход, работа только в строго разрешённой среде. Опытным ИБ-специалистам и инженерам с пониманием производства и высокой ответственности.

Чем занимается пентестер

Требования

сценарии, критерии и постановка задачи

  • Проверять, можно ли связать отдельные слабости в рабочий сценарий атаки без нарушения согласованных правил.
  • Готовить отчёт с понятным влиянием на бизнес, рекомендациями по исправлению и проверкой после закрытия уязвимости.
Система

данные, api, статусы и интеграции

  • Искать уязвимости в веб-приложениях, API, сетях, конфигурациях, учётных записях и цепочках доступа.
Команда

согласование и работа с разработкой

  • Уточнять разрешённый периметр проверки, ограничения, запреты, критичные сервисы и безопасные способы подтверждения риска.
  • Фиксировать доказательства так, чтобы разработка и безопасность могли воспроизвести проблему и оценить приоритет.

Как выглядит работа по задаче

Рабочий цикл пентестера строится вокруг разрешённой проверки: согласовать границы, найти слабые места, подтвердить влияние, безопасно остановиться и передать команде отчёт, по которому можно исправлять.

Шаг 01

Согласует периметр

Фиксирует цели, адреса, роли, запреты, допустимые методы и порядок связи при подозрении на инцидент.

Шаг 02

Изучает поверхность атаки

Собирает сведения о сервисах, точках входа, ролях, версиях, API, ошибках конфигурации и лишних доступах.

Шаг 03

Подтверждает находки

Проверяет уязвимости вручную, отсеивает ложные срабатывания и ищет практическое влияние.

Шаг 04

Собирает цепочку

Показывает, как несколько слабостей могут привести к доступу, утечке или обходу ограничения.

Шаг 05

Передаёт исправления

Описывает шаги воспроизведения, риск, рекомендацию, срочность и условия повторной проверки.

Пентестер, инженер ИБ, AppSec, DevSecOps, Red Team и bug bounty — в чём разница

Роль Главный фокус Что делает Типовой результат Какие навыки нужны Чем отличается от пентестера
Пентестер Проверка защищённости в разрешённом периметре Ищет уязвимости, подтверждает влияние, пишет отчёт и участвует в retest Отчёт с доказанными рисками и рекомендациями Linux, сети, web/API, OWASP, Burp Suite, Nmap, Python/Bash, отчётность Это базовая роль страницы: фокус на легальной проверке и доказательстве риска.
Инженер ИБ Защита систем и процессов Настраивает защитные меры, доступы, мониторинг, реагирование и политики Рабочая система защиты и снижение операционного риска ИБ, сети, доступы, SIEM, hardening, процессы, коммуникация Инженер ИБ строит и поддерживает защиту, а пентестер проверяет её прочность.
AppSec Engineer Безопасность разработки Встраивает security review, SAST/SCA, threat modeling и secure coding в SDLC Безопасный процесс разработки и меньше дефектов до релиза OWASP, secure SDLC, code review, CI/CD, API, разработка AppSec работает ближе к разработке постоянно; пентестер чаще проводит проверку в рамках задания.
DevSecOps Engineer Безопасность поставки Встраивает проверки в CI/CD, контейнеры, IaC, Kubernetes и управление секретами Security gates и контролируемый delivery-риск CI/CD, Docker, Kubernetes, IaC, SAST/SCA, secrets, risk acceptance DevSecOps автоматизирует контроль, пентестер вручную подтверждает и объясняет риск.
Red Team Specialist Проверка устойчивости организации Работает по сценарию атаки, проверяет обнаружение, реакцию и цепочки доступа Оценка готовности защитной команды и процессов OPSEC, сценарии, инфраструктура, AD, коммуникация, отчётность Red Team шире и ближе к имитации реального противника; обычный пентест часто ограничен системой или приложением.
Bug bounty hunter Поиск уязвимостей по правилам программы Ищет и отправляет отчёты в публичных или закрытых bug bounty программах Принятый vulnerability report и reward, если программа подтверждает находку Web security, отчётность, чтение правил программы, аккуратность Bug bounty — формат практики и вознаграждения, а не всегда штатная роль.
SOC Analyst Мониторинг и реагирование Следит за событиями, разбирает алерты, эскалирует инциденты Обнаруженный и обработанный инцидент SIEM, логи, network/security events, triage, incident response SOC защищает и реагирует; пентестер проверяет, какие слабости можно использовать.
Security Architect Архитектура защиты Проектирует security controls, сегментацию, требования и модели угроз Архитектурное решение по безопасности Architecture, IAM, network security, threat modeling, risk management Архитектор задаёт систему защиты, пентестер проверяет её на практике.
System Administrator Эксплуатация систем Настраивает серверы, пользователей, сети, обновления и доступность Рабочая инфраструктура Linux/Windows, сети, AD, backup, monitoring, automation Администратор поддерживает систему, а пентестер ищет слабости в настройках и доступах.
Backend Developer Серверная логика продукта Пишет API, бизнес-логику, интеграции и работу с данными Рабочий backend-сервис Язык программирования, API, БД, auth, тесты, архитектура Разработчик создаёт приложение, пентестер проверяет, где логика и доступы могут стать риском.

Пентестер и инженер информационной безопасности: в чём разница

Пентестер проверяет защиту в роли атакующего, а инженер информационной безопасности строит и поддерживает эту защиту на постоянной основе.

01
Фокус
Пентестер

Разрешённая атака, подтверждение уязвимостей, цепочки доступа и доказательство влияния.

Инженер информационной безопасности

Политики, процессы, защитные меры, контроль рисков, расследования и постоянное снижение угроз.

02
Рабочий материал
Пентестер

Периметр проверки, веб-приложения, API, сети, учётные записи, отчёты и доказательства.

Инженер информационной безопасности

Защитная инфраструктура, требования, настройки, мониторинг, обучение и процессы безопасности.

03
Цена ошибки
Пентестер

Можно пропустить опасную цепочку или повредить систему, если нарушить правила проверки.

Инженер информационной безопасности

Можно оставить системный риск без контроля или построить защиту, которая не работает в реальной атаке.

04
Результат
Пентестер

Отчёт с воспроизводимыми находками, приоритетами исправлений и повторной проверкой.

Инженер информационной безопасности

Работающая программа защиты, которая снижает вероятность и последствия инцидентов.

Стек роли: краткий срез по вакансиям

Работодателю нужен пентестер, который умеет проверять защиту аккуратно, доказательно и без театральности. В требованиях встречаются Linux, сети, HTTP, Burp Suite, Nmap, OWASP, основы криптографии, скрипты, работа с прокси, права доступа, отчётность и понимание безопасной эксплуатации уязвимостей.

Сильный кандидат показывает не набор пройденных лабораторий, а ход атаки и мышление. Как была выбрана цель, почему находка не является ложным срабатыванием, как подтверждён риск, где остановились из-за ограничений, какую рекомендацию дали и как проверили исправление. Такой рассказ важнее громких названий инструментов.

На опытных позициях ждут широты: веб, API, облачные настройки, внутренняя сеть, социальная инженерия по разрешению, безопасность разработки и коммуникация с командами. Чем выше уровень, тем меньше ценится «нашёл дыру» и тем больше - умение перевести находку в понятное решение.

Самый активный работодатель по накопленной статистике SkillStat — Лаборатория Касперского: 8 вакансий за время наблюдений. Это ориентир по источникам найма, а не доля текущего рынка.
В текущем активном срезе по этой роли 21 вакансий. Список работодателей ниже построен по накопленной статистике SkillStat, поэтому его нужно читать как ориентир по источникам вакансий, а не как долю текущего рынка.
Топ работодателей
Компании, которые встречаются в вакансиях по профессии Пентестер
1
ООО Страховая компания Сбербанк страхование
8 вак.
2
ГК «МТ-Интеграция»
3 вак.
3
METASCAN
3 вак.
4
CyberOK
3 вак.
5
ООО НОВАЯ СТУДИЯ
3 вак.
6
"МТС", Работа в IT
3 вак.
Вход через junior
14%
от рынка

Рынок ориентирован на опытных специалистов.

На одну junior-вакансию приходится примерно 2.5 senior-позиции.
Навыков на вакансию
14
в среднем

Столько требований работодатели обычно собирают в одной позиции по этой роли.

Курс · подобран по данным рынка

Лучший курс для пентестера

Соответствие рассчитано по стеку из 21 вакансий — это не реклама, а совпадение со спросом работодателей.

Все курсы →
Лучшее совпадение
90%
соответствие
Skillbox
Skillbox
онлайн · курс
Профессия Этичный хакер
1 месяц Сертификат
4.7
от 5 646 ₽/мес
Сравнить все курсы

Pentester Core: что реально нужно знать

Ядро профессии - не один инструмент и не набор громких терминов. Работодатель ждёт специалиста, который понимает системы, работает в разрешённом периметре, доказывает риск безопасно и пишет отчёт, по которому можно исправлять.

Legal scope

Разрешённый периметр, правила проверки, запреты, окна работ, ответственные контакты, хранение доказательств и умение остановиться, если есть риск для данных или доступности.

Web и API security

HTTP, cookies, sessions, auth, roles, REST/GraphQL, бизнес-логика, OWASP Top 10, валидация входных данных и безопасная проверка типовых классов риска.

Infrastructure basics

Linux, Windows, TCP/IP, DNS, Active Directory на базовом уровне, сетевые сервисы, сегментация, права и конфигурации в согласованном контуре.

Evidence and reporting

Finding, impact, likelihood, severity, reproduction в безопасной форме, recommendation, owner, retest и понятный executive summary для бизнеса.

Automation and scripting

Python, Bash, PowerShell и Git как вспомогательные инструменты для обработки данных, проверки гипотез, заметок, отчётов и аккуратной автоматизации в лабораторной или разрешённой среде.

Ethics and communication

Пентестер должен уметь объяснять риск без драматизации, не спорить ради победы, уважать границы заказчика и помогать команде исправлять, а не только находить ошибки.

Навыки пентестера по уровням

Junior, Middle и Senior отличаются не только количеством инструментов. Главная разница - самостоятельность, качество отчёта, работа с неопределённостью и способность объяснять бизнес-риск.

Уровень Что должен уметь Типовой результат Что важно показать
Junior Linux, сети, HTTP, web/API basics, OWASP на концептуальном уровне, Burp Suite, Nmap, заметки и аккуратные учебные отчёты. Помогает в проверке, воспроизводит учебные finding, готовит первичную документацию и делает retest простых исправлений. Портфолио на легальных стендах, понимание scope, отсутствие опасных кейсов с чужими системами.
Middle Самостоятельно ведёт участок web/API или инфраструктуры, проверяет бизнес-логику, оценивает severity, пишет отчёт для разработки. Отчёт с понятным impact, рекомендациями, приоритетами и проверкой исправлений. Кейсы, где видно мышление: почему это риск, как доказали безопасно, что команда исправила.
Senior Проектирует методику проверки, работает со сложными контурами, цепочками риска, AD/cloud/AppSec, консультирует команды и заказчика. Снижение системного риска: исправления, улучшение процесса, обучение команд, ретест и приоритизация backlog. Опыт consulting, сложные отчёты, взаимодействие с бизнесом, менторство и зрелая работа с legal/scope.

Инструменты пентестера

Инструменты нужны, но они не заменяют понимание риска, scope и отчётность. В резюме безопаснее описывать не сценарии применения, а класс задач, уровень владения и легальную практику на лабораториях.

Инструмент Для чего нужен На каком уровне нужен Как безопасно описывать в резюме
Burp Suite Анализ web/API-трафика, проверка авторизации, сессий, параметров и поведения приложения в учебной или разрешённой среде. Junior+ для web/API-направления. «Работал с Burp Suite в web/API lab, оформлял findings, impact и retest».
OWASP ZAP Базовый анализ web-приложений и обучение web security в безопасной лабораторной среде. Junior как доступный стартовый инструмент. «Использовал OWASP ZAP для учебных проверок и отчётов по OWASP Top 10».
Nmap Инвентаризация разрешённого сетевого периметра и анализ видимых сервисов без выхода за scope. Junior+ для infrastructure basics. «Понимаю сетевую инвентаризацию в разрешённом scope и фиксирую результаты в отчёте».
Wireshark Разбор сетевого трафика, диагностика протоколов и понимание сетевого поведения систем. Junior/Middle для инфраструктуры и troubleshooting. «Разбирал трафик в лаборатории, объяснял протоколы и сетевые аномалии».
Kali Linux Учебная среда с набором ИБ-инструментов; полезна для лабораторий, но не является доказательством профессии сама по себе. Junior как окружение, не как главный навык. «Работал в Kali Linux на легальных стендах, соблюдал scope и правила проверки».
Metasploit Понимание классов риска и проверка в лабораторных условиях; в реальных проектах требует строгого разрешения и контроля. Middle+, аккуратно и только в согласованном контексте. «Знаком с Metasploit на учебных стендах, понимаю ограничения и юридические рамки».
BloodHound Анализ связей и прав в доменной инфраструктуре в рамках разрешённой проверки. Middle+ для AD/internal security. «Изучал AD risk modeling в lab, умею объяснять цепочки прав без публикации чувствительных деталей».
Docker Запуск учебных стендов, изоляция лабораторий, воспроизводимые окружения для практики и pet-проектов. Junior+ как базовый tooling. «Поднимал локальные security labs в Docker и документировал окружение в README».
Git Хранение заметок, шаблонов отчётов, pet-проектов, скриптов и документации. Junior+ для любой технической роли. «Вёл портфолио и отчёты в Git, оформлял README и историю изменений».
Python Автоматизация рутины, обработка логов, работа с API и вспомогательные проверки в разрешённом контексте. Junior/Middle как плюс, Senior - почти обязательная база. «Писал небольшие Python-скрипты для анализа данных и подготовки отчётов в lab».
Bash Работа в Linux, обработка файлов, логов, окружения и простая автоматизация. Junior+. «Уверенно работаю в Linux shell, автоматизирую рутинные действия в лабораторной среде».
SQL Понимание баз данных, моделей доступа, ошибок в запросах и влияния на данные. Junior+ для web/API. «Понимаю SQL и риски работы с данными, умею описывать impact без вреда для БД».
Postman Проверка API, сценариев авторизации, параметров, ролей и ответов сервера. Junior+ для API-пентеста. «Тестировал API на учебных стендах, фиксировал сценарии, роли и ошибки в отчётах».
SIEM / логирование Понимание того, какие события видит защита, как проверка отражается в логах и почему важен retest. Middle+ и Red Team/AppSec контекст. «Понимаю, как findings связаны с логами, detection и рекомендациями для Blue Team».

Рынок: краткий срез SkillStat

Для пентестера сейчас доступна рыночная оценка дохода, а не точная медиана только по текущим активным вакансиям. Её лучше читать вместе с подписью источника и структурой рынка по уровням.
Оценка зарплаты Оценка
235 000
Москва и МО · Оценка по профессии и близкому рынку · оценка обновлена 18.07.26
Рынок направления · n=70
Вакансии профессии за 60 дней · n=6
Вакансии профессии за 180 дней · n=7
Опора оценки
6
наблюдений в опорном срезе
Диапазон и позиция в зарплатном рейтинге не показаны: зарплата здесь — расчётная оценка, поэтому SkillStat не выводит эти значения, чтобы не создавать ложную точность.
По данным SkillStat, зарплатная оценка пентестера в Москве и МО составляет 235 000 ₽ на срезе от 18.07.2026. Это не точная медиана по каждому грейду, а estimated-оценка: в активном срезе мало вакансий с открытой вилкой, поэтому SkillStat опирается на профессию и близкий рынок. Опорная выборка - n=6, уверенность низкая, поэтому диапазон, позиция в зарплатном рейтинге и грейдовые зарплаты не показываются.
Зарплата по грейдам
Медиана зарплаты по грейду. n — выборка вакансий с указанной суммой.

Для расчётной оценки грейдовые зарплаты не показываются, чтобы не создавать ложную точность.

Распределение по уровням
Middle
50% рынка
Senior
36%
Middle
50%
Junior
14%
По структуре вакансий видно, какой уровень для этой профессии считается базовым на рынке. Это помогает читать грейды не как абстрактную лестницу, а как реальную точку входа и роста.
Дополнительный разбор

Где начинается рост

Зарплатную оценку нужно читать как ориентир по рынку, а не как гарантированную медиану для каждого грейда. У junior-пентестера доход обычно зависит от базы: Linux, сети, web/API, отчёты, аккуратность и легальная практика. У middle и senior сильнее влияют самостоятельное ведение проверки, работа со сложными системами, инфраструктурой, AD, AppSec, бизнес-логикой, отчётностью, retest и коммуникацией с командами.

Что говорит структура рынка

Доход повышают: сильное портфолио с отчётами, опыт web/API и infrastructure pentest, понимание разработки, умение оценивать impact, аккуратная работа с чувствительными данными, знание AppSec/DevSecOps-контекста, опыт consulting, английский и способность объяснять риск руководителям и разработчикам.

Вакансии пентестера: спрос и динамика рынка

Спрос на пентестера лучше читать как сочетание объёма найма, ранга профессии в общей выборке и устойчивости вакансий во времени. Виджеты выше дают быстрый срез рынка, а график ниже помогает понять, насколько этот спрос поддерживается от месяца к месяцу.

Активные вакансии
21
в активном найме
Москва и МО · текущий срез 18.07.26
Спрос
11
из 100
Ранг по спросу
#49 из 71
Статус
Низкий
Среднее число активных вакансий по месяцам
Блок показывает среднее число активных вакансий за месяц, чтобы видеть общую картину без шума отдельных дней.
июль 35 неполный +9
июнь 26 -1
май 27 +1
апрель 26 +7
март 19 -3
февраль 22 неполный
Июль пока показан как текущий неполный месяц, поэтому его лучше читать как живую картину рынка, а не как итог месяца.
Дополнительный разбор

Отдельный спрос на пентестеров по шкале SkillStat: 11/100 и #49 из 71 профессий. Это нормальная картина для узкой ИБ-специализации. Часть задач уходит в вакансии инженера ИБ, AppSec, DevSecOps, Red Team, аудитора безопасности или security consultant, поэтому отдельный title «пентестер» показывает не весь рынок проверок защищённости.

Текущий активный срез небольшой: 21 вакансий. Junior-вход заметен не во всех окнах: долю junior-вакансий и плотность требований лучше смотреть в live-блоках и списке навыков. Работодатели ждут не только интерес к хакингу, но и базу по Linux, сетям, web/API, отчётам, разрешённому периметру и аккуратной коммуникации с разработкой.

Сглаженный тренд лучше читать в live-графике. Профессия остаётся нишевой, но устойчивой: компании регулярно проверяют внешние приложения, API, инфраструктуру, личные кабинеты и внутренние контуры, но отдельные вакансии появляются волнами.

Формат работы пентестера

Этот срез показывает, в каком формате работодатели чаще всего открывают вакансии по профессии: удалённо, гибридно или с полной привязкой к офису.

Сейчас сильнее всего выражен гибридный формат: его отрыв от следующего сценария составляет около 19 п.п.
Удалённо
5%
Гибрид
57%
Офис
38%
По 21 вакансиям

Карьерный путь пентестера

Грейдовые медианы не показаны: для пентестера зарплата сейчас показана как расчётная оценка, поэтому SkillStat не выводит отдельные зарплаты по уровням, чтобы не создавать ложную точность.

01
Junior

Начинает с лабораторных задач, типовых веб-уязвимостей, работы с Linux, сетями, HTTP, прокси и отчётами. Важно научиться не только находить, но и воспроизводить проблему, фиксировать доказательство и не выходить за рамки разрешения.

02
Middle

Самостоятельно проводит проверки ограниченного периметра: планирует подход, вручную подтверждает находки, пишет отчёт и обсуждает исправления с командами. От этого уровня ждут аккуратности, дисциплины доказательств и понимания бизнес-влияния.

03
Senior

Берёт сложные проверки: цепочки атак, внутренние сети, API, облачные настройки, обход ролей, критичные системы и повторную проверку после исправлений. Умеет остановиться, если дальнейшая эксплуатация создаёт ненужный ущерб.

04
Lead

Отвечает за программу проверок: методологию, качество отчётов, развитие команды, приоритизацию зон риска, связь с безопасной разработкой и обучение внутренних команд.

Где работает пентестер

Веб и API

Проверяются авторизация, роли, обработка ввода, бизнес-логика, токены, файлы и интеграции.

Внутренние сети

Ищутся слабые учётные записи, лишние сервисы, неверные права и пути перемещения к ценным ресурсам.

Регулярные аудиты

Пентест помогает проверить крупные изменения, требования клиентов, готовность к запуску и качество исправлений.

Как стать пентестером: практический путь

Практический путь входа в профессию: что освоить сначала, как собрать рабочую базу и на чём быстрее всего набирается прикладная уверенность.

01
0-1 месяц: базовая техническая основа

Linux: файловая система, права, процессы, логи и пакетные менеджеры. Сети: TCP/IP, DNS, HTTP/HTTPS, порты и клиент-серверная модель. Веб и данные: формы, cookies, сессии, API, базовый SQL и понимание того, где данные могут быть обработаны небезопасно.

02
2-3 месяц: web, API и классы риска

Разберите web-приложения, API, авторизацию, роли, состояния, ошибки и бизнес-логику. OWASP Top 10 изучайте на концептуальном уровне: как карту типовых рисков, а не как набор инструкций. Все проверки выполняйте только на учебных стендах или в разрешённом контуре.

03
3-5 месяц: инструменты и первые отчёты

Освойте Burp Suite, OWASP ZAP, Postman, Docker, Git, Python и Bash в легальных лабораториях. Цель этого этапа - не собрать список утилит, а научиться фиксировать scope, риск, влияние, рекомендацию и результат повторной проверки.

04
5-8 месяц: легальная практика и портфолио

Практикуйтесь на CTF, PortSwigger Academy, Hack The Box, TryHackMe и локальных стендах. Соберите 2-3 учебных отчёта: web/API, infrastructure или AD lab, retest case. Не используйте чужие системы как портфолио.

05
8-12 месяц: резюме, вакансии и специализация

Подготовьте резюме без опасных деталей и сомнительных кейсов. Смотрите junior/stage-вакансии, security intern, AppSec trainee и security engineer с pentest-задачами. Выберите первый фокус: web/API, infrastructure, cloud, mobile или AppSec.

06
Что показать в портфолио новичку

Покажите учебный отчёт с разрешённой средой, scope, finding, impact, recommendation и retest. Добавьте README: цель, ограничения, среда, выводы и явное предупреждение, что проект нельзя применять к чужим системам без разрешения.

Путь в профессию
Как стать пентестером: данные из вакансий
Roadmap, junior-рынок, проекты для портфолио, первый оффер — без обещаний, с цифрами.
Как стать пентестером
Курсы · подобрано по данным рынка

Курсы для пентестера

Сопоставили программы с реальным стеком из 21 вакансий — оценка соответствия рассчитана автоматически, это не реклама.

Соответствие — доля ключевых навыков из вакансий, которые охватывает программа курса

Как перейти в пентест из смежных профессий

В пентест часто приходят не только с нуля. У системного администратора, разработчика, QA и DevOps уже есть часть базы, но каждому нужно добрать свой недостающий слой.

Стартовая роль Что уже полезно Чего не хватает Куда смотреть Что собрать в портфолио
Системный администратор Linux/Windows, сети, доступы, логи, сервисы, troubleshooting. Web/API security, отчётность, OWASP, risk rating, безопасное подтверждение влияния. Infrastructure pentest, internal security, junior security engineer. Лаборатория с сетевым периметром, отчёт по конфигурациям, retest и рекомендации.
Разработчик Код, архитектура, API, базы данных, бизнес-логика, CI/CD. Security mindset, OWASP, threat modeling, безопасная проверка, отчёт для ИБ и бизнеса. AppSec, web/API pentest, secure code review. Web/API case с finding, impact, исправлением и объяснением, как дефект появился в разработке.
QA Сценарное мышление, тест-кейсы, баг-репорты, edge cases, коммуникация с разработкой. Linux, сети, HTTP, основы безопасности, severity, legal scope. Junior pentester, QA security, AppSec trainee. Учебный отчёт с понятными шагами проверки, expected/actual, impact и retest.
DevOps Linux, Docker, Kubernetes, CI/CD, cloud, monitoring, secrets, инфраструктура. AppSec, OWASP, IAM risk, отчётность, приоритизация уязвимостей и безопасные проверки. Cloud security, DevSecOps, infrastructure pentest. Cloud/IaC lab, проверка прав, безопасная демонстрация риска, план исправления.

Что добавить в портфолио пентестера

Портфолио пентестера должно доказывать не «я умею запускать инструменты», а зрелый рабочий цикл: разрешённая среда, scope, finding, impact, рекомендация и retest. Все примеры должны быть легальными.

Учебный web/API отчёт

Легальный стенд, описание scope, найденные классы риска, безопасное доказательство, severity, recommendation и retest. Без payload, команд и деталей, которые можно применить к чужому сайту.

Infrastructure lab

Локальная лаборатория с несколькими сервисами, сетевой картой, ролями, логами и отчётом по конфигурационным рискам. Важно показать ограничения и правила проверки.

AppSec review case

Разбор учебного фрагмента приложения: где риск появляется в коде или архитектуре, как его поймать раньше релиза и как разработчику исправить проблему.

Report template

Шаблон отчёта: executive summary, scope, limitations, findings, risk rating, evidence, recommendation, retest status. Это показывает, что вы понимаете deliverable профессии.

Retest case

Мини-кейс «было - исправили - проверили повторно». Работодатель видит, что вы понимаете финальную цель пентеста: подтверждённое снижение риска.

Learning notes

Конспекты по OWASP, сетям, HTTP, Linux и безопасной практике. Они полезны, если написаны своими словами и не содержат опасных инструкций.

Сертификаты и легальная практика

Сертификаты помогают структурировать обучение, но не заменяют отчёты, портфолио и практику в разрешённом периметре. Новичку важнее научиться документировать риск, чем собирать бейджи без кейсов.

Формат Для кого Что даёт Ограничение
eJPT Новичок / Junior Базовая практическая рамка по сетям, web и методике проверки. Не заменяет портфолио и не доказывает готовность к сложным коммерческим проектам.
CEH Новичок / Junior, кто хочет общий обзор ethical hacking Широкую терминологию и формальное знакомство с областью. Сертификат часто слишком широкий; без практики и отчётов ценность ограничена.
OSCP Middle/Senior или сильный Junior с хорошей базой Практическую проверку устойчивости и дисциплину самостоятельной работы. Требует времени, устойчивой базы и легальной лабораторной практики.
PNPT Middle и выше, consulting / report focus Больше внимания к реалистичному процессу, отчёту и коммуникации. Не стоит брать как первый шаг без Linux, сетей, web/API и отчётности.
CTF, Hack The Box, TryHackMe Все уровни Легальную практику, привычку фиксировать ход мысли и проверять гипотезы. CTF не всегда похож на коммерческий пентест: добавляйте отчёты и бизнес-impact.
Bug bounty После базовой подготовки и понимания правил Опыт работы с реальными программами в рамках публичных правил. Работать можно только по правилам программы; выход за scope создаёт юридический риск.

Что не надо учить и делать сразу

Главная ошибка новичка - бежать за инструментами и «боевыми» историями без базы, легальности и отчётности. Для карьеры это вредно: работодателю нужен управляемый специалист, а не риск для компании.

01

Не начинать с чужих систем

Любая проверка без разрешения - юридический риск. Для практики используйте CTF, учебные лаборатории, локальные стенды и программы с явными правилами.

02

Не сводить профессию к набору утилит

Burp Suite, Nmap или Kali Linux не делают человека пентестером. Важнее понимать scope, риск, impact, отчёт и исправление.

03

Не публиковать опасные детали

Портфолио должно быть безопасным: без команд, payload, данных заказчика и сценариев, которые можно применить к чужой системе.

04

Не игнорировать отчётность

Если finding нельзя объяснить разработчику и владельцу бизнеса, его сложно исправить. Отчёт - такой же навык, как техническая проверка.

05

Не учить Red Team раньше базы

Red Team требует зрелости, понимания detection, инфраструктуры, коммуникации и юридических рамок. Новичку полезнее начать с web/API или infrastructure basics.

06

Не путать CTF с коммерческим пентестом

CTF развивает мышление, но коммерческая работа требует scope, приоритетов, отчёта, retest и аккуратной коммуникации.

07

Не обещать абсолютную безопасность

Пентест не гарантирует, что уязвимостей нет. Он снижает риск в конкретном периметре, в конкретное время и по согласованной методике.

Что спрашивают на собеседовании пентестера

На собеседовании проверяют не только термины. Важны legal scope, базовая техника, понимание web/API и инфраструктуры, отчётность, этика и способность рассуждать о риске без опасных деталей.

Legal scope and ethics

Как вы понимаете разрешённый периметр, что делать при случайном доступе к чувствительным данным, когда остановить проверку и как хранить доказательства.

Web and API

HTTP, auth, sessions, roles, rate limits, business logic, OWASP Top 10, работа с API и описание findings без публикации опасных инструкций.

Infrastructure

Linux, Windows, TCP/IP, DNS, AD basics, сетевые сервисы, сегментация, логи и понимание, как не выйти за разрешённый scope.

Reporting

Finding, impact, likelihood, severity, recommendation, executive summary, retest и объяснение риска для разработки и бизнеса.

Practical cases

Нашли риск, но он вне scope; заказчик просит продолжить; разработчик не согласен с severity; finding нельзя безопасно подтвердить; после исправления проблема частично осталась.

Примеры вопросов на собеседовании

Эти вопросы помогают готовиться без публикации опасных инструкций. Отвечайте через принцип, риск, ограничение и безопасный способ проверки.

01

Чем пентест отличается от vulnerability scan?

Сканирование показывает возможные проблемы, а пентест проверяет риск в контексте системы, ролей, бизнес-логики и влияния.

02

Что входит в scope проверки?

Разрешённые системы, аккаунты, действия, ограничения, окна работ, контакты и правила остановки.

03

Как оценивать severity?

По влиянию, вероятности, доступности предпосылок, затронутым данным, компенсирующим мерам и бизнес-контексту.

04

Что делать, если finding вне периметра?

Остановиться, не развивать проверку, зафиксировать минимум безопасных сведений и передать ответственному контакту по правилам проекта.

05

Как писать хороший отчёт?

Кратко объяснить риск, доказательство, влияние, приоритет, рекомендацию, владельца исправления и результат retest.

06

Как объяснить риск разработчику?

Через сценарий, условия возникновения, затронутые данные, безопасное доказательство и конкретное исправление.

07

Как отличить AppSec от пентеста?

AppSec встроен в разработку и предотвращает дефекты, а пентест проверяет готовую или близкую к готовой систему в рамках задания.

08

Что должно быть в junior-портфолио?

Учебные отчёты, scope, findings, impact, рекомендации, retest и явное указание, что практика была легальной.

Плюсы и минусы профессии

Плюсы

  • Работа даёт понятный результат: найден риск, доказано влияние, исправление получило приоритет.
  • Навыки развиваются через реальные сценарии атак, а не только через теорию безопасности.
  • Можно расти в экспертный трек, консалтинг, внутреннюю безопасность или руководство программой проверок.
  • Профессия хорошо показывает ценность в компаниях с критичными данными и частыми релизами.
  • Сильные отчёты и кейсы хорошо раскрывают опыт на собеседованиях.

Минусы

  • Много рутины: проверка ложных срабатываний, документация, повторные тесты и согласования.
  • Нужно постоянно помнить о границах, чтобы не превратить проверку в инцидент.
  • Не все команды готовы спокойно принимать находки и быстро исправлять причины.
  • Без постоянной практики знания устаревают: меняются фреймворки, облака, схемы атак и защитные меры.

Кому подойдет

Профессия подходит людям с исследовательским мышлением, терпением к тупикам и уважением к границам. Нужно уметь сомневаться в очевидном, проверять гипотезы, спокойно фиксировать факты и не превращать безопасность в демонстрацию превосходства.

Подойдет

  • Аккуратность в согласовании периметра и действий во время проверки.
  • Умение объяснять риск разработчикам без обвинительного тона.
  • Дисциплина в фиксации доказательств, шагов воспроизведения и ограничений.
  • Готовность отделять интересную находку от действительно важной для бизнеса проблемы.
  • Способность остановить проверку, если следующий шаг может повредить сервису.
  • Навык писать отчёты, которые помогают исправлять, а не просто пугают.

Не подойдет

  • Пентест не подойдёт тем, кто хочет бесконтрольно ломать системы или собирать трофеи из уязвимостей.
  • Работа держится на разрешении, доказательствах, ответственности и уважении к чужой инфраструктуре.

FAQ по профессии пентестер

Кто такой пентестер простыми словами?

Пентестер - это специалист по информационной безопасности, который легально проверяет, можно ли найти слабые места в сайте, приложении, API, сети или внутренней системе компании. Он работает не как «обычный хакер», а по договорённости: есть разрешённый периметр, правила проверки, ограничения и ответственные контакты. Итог его работы - отчёт с рисками, доказательствами без вреда и рекомендациями по исправлению. Поэтому профессия пентестер находится на стороне защиты бизнеса, данных и пользователей.

Чем занимается пентестер?

Пентестер уточняет scope проверки, изучает систему, проверяет типовые классы рисков, безопасно подтверждает влияние найденных проблем, пишет отчёт и помогает проверить исправления. В работе важны не только технические навыки, но и дисциплина: нельзя выходить за разрешённый периметр, вредить данным или публиковать чувствительные детали. Хороший результат пентеста - не просто список находок, а понятная для бизнеса картина риска и план исправления.

Можно ли работать пентестером удалённо?

Удалённая работа возможна, особенно в web/API, AppSec, consulting и части внешних проверок. Но не все задачи подходят для удалёнки: внутренние контуры, закрытые среды, промышленная инфраструктура, режимные заказчики и проверки с чувствительными данными могут требовать офиса или защищённого доступа. На странице SkillStat формат работы лучше смотреть по текущему срезу вакансий, потому что доля удалёнки меняется от рынка и типа заказчика.

Можно ли стать пентестером без программирования?

Войти в пентест совсем без программирования сложно, но не обязательно начинать как разработчик. На старте достаточно понимать, как работает код, web-приложение, API, база данных и обработка пользовательских данных. Python и Bash полезны для автоматизации, анализа логов, обработки результатов и учебных проектов. Чем выше уровень, тем важнее способность читать код, понимать бизнес-логику и объяснять разработчикам, почему риск появился.

Есть ли юридические риски в профессии?

Юридические риски есть, если специалист выходит за разрешённый периметр, трогает чужие системы без согласия, сохраняет чувствительные данные, нарушает правила bug bounty или публикует опасные детали. Профессиональный пентестер работает только по договорённости, фиксирует scope, соблюдает правила остановки и передаёт результаты ответственным лицам. Законность - не формальность, а базовый навык профессии.

Заменит ли ИИ пентестеров?

ИИ не заменяет пентестеров полностью, но меняет работу. Ассистенты помогают анализировать логи, структурировать заметки, искать повторяющиеся ошибки и готовить черновики отчётов. При этом человек отвечает за scope, этику, проверку фактов, оценку impact, бизнес-логику, коммуникацию и решение, можно ли считать риск подтверждённым. Сильнее будут цениться специалисты, которые понимают разработку, инфраструктуру и бизнес-риск, а не просто запускают инструменты.

Где тренироваться легально?

Легально тренироваться можно на учебных стендах, CTF, PortSwigger Web Security Academy, Hack The Box, TryHackMe, локальных Docker-labs и bug bounty программах с явными правилами. Важно читать условия: что входит в scope, какие действия запрещены, как отправлять отчёт и какие данные нельзя трогать. Чужой сайт, приложение или сеть без разрешения не подходят для практики, даже если цель образовательная.

Какие бывают пентестеры?

Чаще выделяют web-пентестеров, API-пентестеров, infrastructure-пентестеров, mobile-пентестеров, cloud-пентестеров, Red Team-специалистов и AppSec-специалистов с сильной pentest-базой. Web/API ближе к приложениям и бизнес-логике, infrastructure - к сетям, сервисам и доступам, cloud - к IAM и облачным настройкам, Red Team - к сценарной проверке устойчивости. Новичку лучше выбрать один фокус, а не распыляться.

Какие инструменты должен знать пентестер?

Часто встречаются Burp Suite, OWASP ZAP, Nmap, Wireshark, Kali Linux, Postman, Docker, Git, Python, Bash и SQL. Для infrastructure или AD-направления могут появляться BloodHound и инструменты анализа доменных прав; для AppSec - SAST/SCA и CI/CD-контекст; для мониторинга - SIEM и логи. Но инструмент не должен быть главным доказательством. Работодатель смотрит, как вы соблюдаете scope, оцениваете риск и оформляете отчёт.

Какие сертификаты полезны пентестеру?

Новичку могут подойти eJPT или базовые программы по web security, если они дают практику и отчётность. CEH даёт широкий обзор ethical hacking, но без практики имеет ограниченную ценность. OSCP и PNPT чаще интересны middle/senior или сильным junior с хорошей базой. Сертификат не заменяет портфолио: работодатель всё равно смотрит, умеете ли вы работать в scope, объяснять impact и проверять исправления.

Какие языки программирования нужны пентестеру?

Пентестеру чаще всего полезны Python, Bash, SQL и JavaScript на уровне понимания web-логики. Python помогает автоматизировать рутину и работать с данными, Bash - уверенно жить в Linux, SQL - понимать риски в работе с базами, JavaScript - разбирать frontend и client-side поведение. Для AppSec и secure code review могут пригодиться Java, PHP, Go, C# или другой язык проекта, но главный навык - понимать риск и писать понятный отчёт.

Нужен ли диплом, чтобы стать пентестером?

Диплом по ИБ, математике, информатике или инженерной специальности может помочь, но сам по себе не заменяет практику. Для работодателя важны легальные проекты, отчёты, понимание Linux, сетей, web/API, OWASP, аккуратность и способность общаться с разработчиками. В некоторых организациях, особенно в госсекторе или критичной инфраструктуре, формальное образование может быть важнее. В коммерческом рынке сильное портфолио часто весит не меньше.

Сколько учиться на пентестера?

Реалистичный первый путь занимает 6-12 месяцев, если заниматься регулярно и уже есть базовая техническая грамотность. За первые месяцы нужно закрыть Linux, сети, HTTP, web/API и SQL. Затем освоить инструменты анализа, учебные лаборатории и формат отчёта. После этого стоит собрать портфолио и пробовать junior, intern, trainee или смежные вакансии в ИБ. Если стартовать без технической базы, путь обычно длиннее.

Чем пентест отличается от bug bounty?

Пентест обычно проводится по договору, в согласованное время и с заранее описанным периметром, методикой, отчётом и retest. Bug bounty - это программа, где исследователи ищут уязвимости по публичным правилам и получают вознаграждение за принятые отчёты. В обоих случаях важны законность и scope. Разница в формате: пентест ближе к заказной проверке, bug bounty - к открытой программе с конкуренцией и строгими правилами раскрытия.

Чем пентестер отличается от белого хакера?

Пентестер и белый хакер часто обозначают близкие роли, но слово «пентестер» точнее описывает профессиональный формат работы. Белый хакер - более широкое и популярное название этичного специалиста, который действует легально. Пентестер обычно работает по договору, методике и согласованному scope, готовит отчёт, оценивает impact и участвует в retest. Важна не романтика термина, а законность, доказуемость риска и ответственность за результат.

Чем пентестер отличается от инженера информационной безопасности?

Пентестер проверяет защиту и показывает, где система уязвима в согласованном периметре. Инженер информационной безопасности чаще строит и поддерживает защиту: доступы, политики, мониторинг, hardening, процессы, реагирование и контроль требований. В небольших компаниях задачи могут смешиваться, но фокус разный: пентестер доказывает риск через проверку, а инженер ИБ отвечает за регулярную защитную систему.