Данные из 22вакансии · 19 июля 2026

По этой профессии сейчас мало активных вакансий, поэтому рыночные цифры на странице ориентировочны. Путь входа, навыки и типовые ошибки от объёма выборки не зависят.

Как стать пентестером: путь от нуля до первого оффера

Не «стань разработчиком за 3 месяца» — реальный путь входа на основе данных по 22 вакансии.

АСАндрей Соловьёв·Технический редактор·Проводит легальные проверки web/API, инфраструктуры и внутренних контуров, помогает командам исправлять подтверждённые риски · 10+ лет в информационной безопасности, AppSec, пентесте и security review
Junior-вакансий сейчас
2
9% от всех 22 вакансии
Сложность входа
Средняя
9% junior-вакансий
Senior / Junior+Intern
2.5x
На каждого junior+intern — 2.5 senior
Навыков / вакансия
13.5
медиана по вакансиям
Всего вакансий
22
активных в Москве

Можно ли стать пентестером с нуля

Да. По данным SkillStat, 9% вакансий пентестера — уровня junior или стажёр. Это 2 вакансии прямо сейчас.

«С нуля» для пентестера — это без коммерческих проверок, но с уже собранной инженерной базой. К первому отклику нужно держать Linux, понимать сети и HTTP, читать чужое приложение и по коду, и по трафику, уверенно работать в Burp Suite и доводить находку до воспроизводимого доказательства. Медиана требований в вакансии — 13.5 навыков: одна из самых длинных заявок в безопасности, и половина списка про то, где ты остановишься, а не что запустишь.

Трудность входа не в инструментах. Сканер найдёт открытый порт за минуту, а объяснить, почему одна ошибка конфигурации ведёт к чужим заказам, а соседняя просто шумит, за минуту нельзя. Плюс правовая рамка: практиковаться можно только там, где есть разрешение — учебный полигон, CTF, собственный стенд, программа багбаунти с опубликованным периметром. Всё остальное закрывает не вакансию, а профессию.

Как стать пентестером: короткий план

Пять шагов от первого разбора трафика до отчёта, по которому разработчик воспроизведёт находку и закроет её.

01
Linux и сети
Linux — в 59.1% вакансий пентестера, TCP/IP — в 22.7%. Права, процессы, логи, маршруты, порты. Без этого находка не отличается от совпадения.
02
Web и OWASP
OWASP — в 50% вакансий: не список для заучивания, а карта классов риска. Разбирай авторизацию, роли, сессии и бизнес-логику на приложениях, а PHP и JavaScript (31.8% и 31.8%) учись читать хотя бы настолько, чтобы найти проверку прав или её отсутствие.
03
Burp Suite и руки
Burp Suite — в 63.6% вакансий. Перехват, повтор запроса, подмена роли, разбор токена. Nmap и Metasploit (27.3% и 31.8%) — только на своём стенде и в разрешённой лаборатории.
04
Доказательство
Находка без воспроизведения — слух. Фиксируй: где, при каких условиях, что получил, чем это грозит бизнесу и в какой момент ты остановился.
05
Отчёты и отклики
Собери 2–3 учебных отчёта с легального полигона: веб и API, инфраструктура или домашняя лаборатория на Active Directory, повторная проверка после исправления. Дальше — отклики на junior и стажировки в AppSec.

Что учить пентестеру первым

Не всё сразу. Вот очерёдность по частотности в вакансиях — от самого нужного к менее срочному.

Навык Все вакансии
Python 95.5%
burp suite 63.6%
Linux 59.1%
Bash 54.5%
OWASP 50%
Windows 40.9%
Java 36.4%
PowerShell 31.8%
metasploit 31.8%
Active Directory 31.8%

«Все вакансии» — доля из 22 вакансии. Обновлено 19 июля 2026.

Полный список навыков с частотностью, связками и зарплатной премией — навыки пентестера →

Roadmap пентестера: от нуля до junior

Порядок опирается на частотность навыков по данным вакансий. Первые 4–5 этапов — минимум для первого оффера.

  1. 01
    Сети и операционные системы 59.1% вакансий

    TCP/IP, DNS, сетевые протоколы, администрирование Linux и Windows.

    Подробнее →
  2. 02
    Основы информационной безопасности

    Модели угроз, управление уязвимостями, базовые понятия ИБ, CVSS.

  3. 03
    SIEM и мониторинг событий

    Централизованный сбор логов и событий: QRadar, Splunk, MaxPatrol SIEM.

    Подробнее →
  4. 04
    Анализ инцидентов

    Расследование событий ИБ, форензика, работа с индикаторами компрометации (IoC).

  5. 05
    Скриптинг 95.5% вакансий

    Python или Bash для автоматизации задач ИБ и написания детектирующей логики.

    Подробнее →
  6. 06
    Пентест и форензика middle+

    Инструменты тестирования на проникновение: Kali Linux, Metasploit, Burp Suite.

  7. 07
    Compliance и регуляторика middle+

    ISO 27001, GDPR, ФЗ-152, процессы лицензирования ФСТЭК/ФСБ.

Junior-вакансии пентестера: что реально требуют работодатели

Срез построен на 22 активных вакансии.

Junior-вакансий
2
inc. стажировки
Доля junior
9%
от всего рынка
Senior / Junior+Intern
2.5x
соотношение
Навыков / вакансия
13.5
медиана
Распределение вакансий по грейдам
Junior — 14.3% (2)
Middle — 50% (7)
Senior — 35.7% (5)
Что значат эти цифры. 2 вакансии уровня junior и стажёра из 22 — вход умеренный. Особенность пентеста: компаний, которые держат собственную команду проверок, мало, а те, кто держит, редко отдают новичку периметр заказчика. Зато рядом двери шире: задачи безопасной разработки внутри продуктовой команды и позиции инженера безопасности, где проверки записаны в обязанности. Оттуда до самостоятельных работ ближе, чем с улицы.

Какие проекты сделать для портфолио

Портфолио пентестера — не репозиторий с эксплойтами. Это отчёты: где разрешили, что нашёл, как воспроизвести, чем это грозит бизнесу и что показала проверка после исправления. Публиковать можно только полученное на легальной площадке — учебный полигон, CTF, свой стенд, багбаунти с разрешением на раскрытие.

Отчёт о проверке веб-приложения на учебном полигоне
Средняя · 1–2 недели
Стек: burp suite, OWASP, HTTP, JavaScript
GitHub: Репозиторий: отчёт в .md, границы проверки, шаги воспроизведения, скриншоты со своей среды
Ценность: Главный артефакт роли: Burp Suite — в 63.6% вакансий, OWASP — в 50%
Домашняя лаборатория на Active Directory
Средняя · 2 недели
Стек: Active Directory, Windows, PowerShell
GitHub: Схема стенда, что настроил, какие права оказались лишними и чем это доказано
Ценность: Active Directory — в 31.8% вакансий пентестера, Windows — в 40.9%
Свой инструмент разбора находок на Python
Лёгкая–средняя · 1 неделя
Стек: Python, Bash
GitHub: Скрипт и README: что делает, на каких данных проверен, чего не умеет
Ценность: Python — самый частый навык профессии (95.5% вакансий): автоматизация рутины, а не замена ручной проверки
Разбор чужого публичного отчёта багбаунти
Лёгкая · 2–3 дня
Стек: pentest, OWASP, информационная безопасность
GitHub: Свой пересказ: почему автор пошёл этой цепочкой, что бы ты проверил иначе, где бы остановился
Ценность: Показывает ход мысли, пока своего разрешённого периметра ещё нет

Как оформить GitHub и резюме

Профиль GitHub
  • Публичный репозиторий с отчётами: одна папка — одна проверка, с указанием площадки и разрешения
  • В README каждого отчёта: периметр, ограничения, среда, находка, влияние, рекомендация, повторная проверка
  • Никаких рабочих эксплойтов против чужих систем и никаких данных заказчика — это отсеивает быстрее, чем пустой профиль
  • Скриншоты только со своего стенда или полигона: чужие домены и адреса замазывай
  • Профиль на CTF-площадке и в программе багбаунти — ссылкой: там видно, что практика легальная
  • Скрипты на Python — отдельным репозиторием: 95.5% вакансий пентестера требуют язык, и код читают
Резюме без коммерческого опыта
  • Раздел «Учебные проверки» вместо «Опыт работы»: каждый отчёт описывается как рабочая задача
  • По каждой находке: класс риска, чем подтвердил, что это дало бы атакующему, что рекомендовал
  • Навыки — только рабочие: Python, burp suite. «Проходил лабораторию» без отчёта читается как ноль
  • Назови площадки, где практиковался, и напиши прямо, что периметр был разрешённым
  • Смежный опыт — валюта: администрирование, разработка, тестирование (22.7% вакансий упоминают его). Ты уже видел, как ломаются системы
Слабое резюме

«Прошёл курс по пентесту, работал с Burp Suite и Nmap, изучил OWASP Top 10»

Сильное резюме

«На учебном полигоне разобрал веб-приложение: нашёл обход проверки роли в API заказов — обычный пользователь читал чужие заказы по прямому идентификатору. Подтвердил повтором запроса в Burp Suite, зафиксировал шаги воспроизведения, оценил влияние: доступ к персональным данным всех клиентов. После исправления проверил повторно. Отчёт: [ссылка]»

Самостоятельно, курсы или вуз — какой путь выбрать

Самостоятельно
Легальных полигонов и разборов хватает: Linux, сети и веб-уязвимости закрываются без денег, у Burp Suite есть бесплатная версия
Никто не скажет, что твоя находка — ложное срабатывание сканера, а отчёт нечитаем
Если рядом есть админский или разработческий опыт: базу ты знаешь, добавляется взгляд атакующего
Курсы с ментором
Разбор твоих отчётов чужими глазами и готовая лаборатория, где всё заранее разрешено
Дорого; часть программ учит запускать инструменты и молчит про периметр, правила остановки и отчётность
Если нет ни базы, ни стенда, и непонятно, где практиковаться легально
Вуз / колледж
Специальности по информационной безопасности дают криптографию, сети, правовую часть и вход в компании с формальными требованиями к диплому
Четыре-пять лет; практическая часть обычно отстаёт от того, что делают на реальных проверках
Если выбираешь первое образование или целишься в лицензируемую сферу
Ловушка пентеста: гонка за количеством пройденных лабораторий. Сто закрытых машин выглядят убедительно ровно до вопроса «а что бы ты написал заказчику». Платят не за флаг, а за фразу «вот эта настройка даёт чтение чужих заказов, вот воспроизведение, вот что закрыть первым». Отчёт — часть профессии, а не бумажка после развлечения.
Курсы · подобрано по данным рынка

Курсы для пентестера

Сопоставили программы с реальным стеком из 22 вакансии — оценка соответствия рассчитана автоматически, это не реклама.

Все курсы →
Соответствие = доля ключевых навыков вакансий, которые закрывает программа курса. На основе 22 вакансии, обновлено автоматически.

Что спрашивают на собеседовании

Web и OWASP
Типовые вопросы
  • ·Как проверишь, что роль пользователя не проверяется на сервере
  • ·Чем уязвимость авторизации отличается от уязвимости аутентификации
  • ·Как найдёшь ошибку в бизнес-логике, которой нет в OWASP
  • ·Сканер дал находку — как отличишь её от ложного срабатывания
Как показать проектом

Отчёт по веб-приложению из портфолио: покажи, чем подтвердил находку

Сети, Linux и Windows
Типовые вопросы
  • ·Что показывает Nmap и чего он не показывает
  • ·Как поднять права на Linux-хосте, где ты обычный пользователь
  • ·Чем сервисная учётка в Active Directory опаснее пользовательской
  • ·Куда попадёт твоя активность в логах и в SIEM
Как показать проектом

Лаборатория на Active Directory: расскажи, что настроил и что оказалось лишним

Периметр и правила остановки
Типовые вопросы
  • ·Что уточняешь до начала проверки
  • ·Собрал цепочку до продуктовой базы — твои действия
  • ·Где заканчивается разрешённое и начинается ущерб
  • ·Как ты практиковался и где брал разрешение
Как показать проектом

Любой отчёт: покажи раздел с границами и правилами остановки

Отчётность и повторная проверка
Типовые вопросы
  • ·Как оценишь приоритет находки
  • ·Что напишешь разработчику и что руководителю
  • ·Как выглядит повторная проверка после исправления
  • ·Заказчик говорит, что риск принят — что делаешь
Как показать проектом

Отчёт с повторной проверкой: покажи, что изменилось после исправления

Скрипты
Типовые вопросы
  • ·Зачем Python на проверке, если есть готовые инструменты
  • ·Что именно ты автоматизировал в разборе результатов
  • ·Bash или PowerShell: когда что
  • ·Где скрипт может навредить проверяемому сервису
Как показать проектом

Свой инструмент на Python: что делает и чего не умеет

Сколько времени нужно, чтобы стать пентестером

Минимум
8–12 мес
С инженерной базой: администрирование, разработка или тестирование. Сети, Linux и приложения знакомы, добавляется взгляд атакующего и отчётность
Медиана
14–20 мес
Самостоятельно, с нуля, по 2–3 часа в день, с отчётами вместо конспектов
Реалистично
18–30 мес
При совмещении с работой и без инженерной базы: сначала придётся закрыть Linux, сети и веб

Почему «OWASP за месяц» не равно «работа через месяц». Классы уязвимостей правда читаются за месяц. Дальше идут месяцы полигонов, отчёты, отклики и собеседования, где спрашивают не список рисков, а как ты доказал конкретную находку и почему остановился именно там.

Скорость решают три вещи: была ли инженерная база до старта, есть ли свой стенд и пишешь ли ты отчёт после каждой лаборатории. Без третьего пункта год практики превращается в список пройденных машин.

Ошибки новичков

Учат инструменты вместо систем

Почему мешает: Burp Suite и Nmap показывают ответ, но не объясняют его. Без сетей, Linux и HTTP находка неотличима от шума

Как исправить: Сначала Linux (59.1% вакансий) и TCP/IP (22.7%), потом кнопки

Практикуются там, где не разрешено

Почему мешает: Проверка чужой системы без согласия — не портфолио, а статья. И это первое, что уточнит работодатель

Как исправить: Только легальные площадки: учебные полигоны, CTF, свой стенд, багбаунти с опубликованным периметром

Собирают флаги вместо отчётов

Почему мешает: Пройденная машина показывает, что ты повторил чужой путь. Работодателю нужно, чтобы ты объяснил свой

Как исправить: После каждой лаборатории — отчёт: периметр, находка, воспроизведение, влияние, рекомендация

Верят сканеру

Почему мешает: Автоматика даёт ложные срабатывания пачками. Отчёт, собранный из выгрузки сканера, обесценивает всю проверку

Как исправить: Каждую находку подтверждай руками: повтори запрос, воспроизведи условие, проверь влияние

Пропускают Python

Почему мешает: Python — в 95.5% вакансий пентестера, самый частый навык профессии. Без него рутину разбираешь глазами

Как исправить: Скрипты для сбора и разбора результатов: Python и Bash (54.5% вакансий) — этого хватает

Живут только вебом

Почему мешает: Windows — в 40.9% вакансий, Active Directory — в 31.8%. Внутренняя сеть кормит половину проектов

Как исправить: Подними домашний домен: пользователи, группы, сервисные учётки, права

Пишут отчёт для себя

Почему мешает: Разработчик не воспроизведёт находку по фразе «уязвимо к обходу авторизации». Исправления не будет

Как исправить: В каждой находке: шаги воспроизведения, условия, ожидаемое и полученное поведение, влияние на бизнес

Не читают код приложения

Почему мешает: PHP — в 31.8% вакансий, Java — в 36.4%, JavaScript — в 31.8%. Смотреть в исходники приходится чаще, чем кажется

Как исправить: Учись читать чужой код настолько, чтобы находить проверку роли — и замечать, где её нет

Как SkillStat считает данные

Источник: 22 вакансии в московском сегменте. Навыки и грейды извлекаются автоматически из текста каждой вакансии.

Грейды: определяются по требованиям вакансии — уровню опыта, упоминанию «junior», «intern», «стажёр». Это рыночная оценка объявления.

Сложность входа: рассчитывается по доле junior-вакансий и медиане навыков на junior-уровне. Это индикатор, а не гарантия.

Обновление: данные пересчитываются регулярно. Текущий срез — 19 июля 2026.

Частые вопросы

Можно ли стать пентестером с нуля?
Можно, но «с нуля» тут значит «без коммерческих проверок», а не «без техники». Junior и стажёров среди вакансий пентестера — 2 из 22. До первого отклика нужны Linux (59.1% вакансий), сети, HTTP и понимание веб-приложений: без этого находка неотличима от шума сканера.
Законно ли то, чем занимается пентестер?
Работа законна ровно до границы разрешения. Проверка идёт по согласованному периметру, со списком систем, временем работ и правилами остановки. Всё, что за этими границами, — уже не профессия. Поэтому и учиться нужно только на разрешённых площадках: то, как ты практиковался, спросят на первом же собеседовании.
Где практиковаться легально?
Учебные полигоны и площадки с уязвимыми приложениями, CTF, собственный стенд дома и программы багбаунти, где периметр опубликован владельцем. Свой стенд особенно полезен для инфраструктуры: домен на Active Directory (31.8% вакансий) поднимается на паре виртуалок. Чужие сайты «на посмотреть» — не практика.
Чем пентестер отличается от инженера по безопасности?
Направлением работы. Пентестер ищет, как систему сломать, и доказывает, что находка ведёт к ущербу: периметр, находка, воспроизведение, отчёт, повторная проверка. Инженер строит защиту той же системы: доступы, настройки, средства защиты, события. Первый заканчивает работу отчётом, второй — изменением в конфигурации.
Чем пентестер отличается от SOC-аналитика?
Пентестер атакует по разрешению и в согласованное время, SOC-аналитик смотрит на события и решает, атака это или шум. Ирония в том, что во время проверки аналитик видит именно тебя. Поэтому SIEM встречается и в вакансиях пентестера — но как знание о том, что остаётся в логах, а не как рабочий инструмент.
Нужен ли Python?
Да, это самый частый навык профессии: 95.5% вакансий (21 из 22). Нужен не для разработки, а для рутины: собрать результаты, разобрать выгрузку, перебрать варианты, подготовить данные. Bash — в 54.5% вакансий, PowerShell — в 31.8%: один язык обязателен, остальные добираются по ходу.
Нужен ли Burp Suite и хватит ли бесплатной версии?
Нужен: Burp Suite — в 63.6% вакансий пентестера. Бесплатной версии хватает, чтобы научиться главному: перехватить запрос, повторить его, подменить роль, разобрать токен. Платная ускоряет рутину, но на собеседовании спросят не про лицензию, а про то, что ты увидел в трафике.
Нужно ли уметь программировать?
Писать продукты — нет, читать код — да. PHP встречается в 31.8% вакансий, Java — в 36.4%, JavaScript — в 31.8%: это языки приложений, которые придётся проверять. Нужен уровень «понимаю, где здесь проверка прав и почему она обходится», а не «напишу такое же».
Нужны ли Windows и Active Directory?
Если целишься дальше веба — да. Windows — в 40.9% вакансий, Active Directory — в 31.8%, PowerShell — в 31.8%. Внутренние проверки крутятся вокруг домена: пользователи, группы, сервисные учётки, права. Домашний домен на двух виртуалках закрывает эту базу.
Нужны ли сертификаты?
Помогают пройти формальный фильтр в компаниях с длинным списком требований, но не заменяют отчёт. Практикующий, который читает твой отклик, откроет разбор находки раньше, чем строчку про сертификат. Если выбираешь между курсом с лабораторией и сертификатом без практики — бери лабораторию.
Какие проекты сделать для портфолио?
2–3 отчёта с легальной площадки: веб и API, домашняя лаборатория на Active Directory, повторная проверка после исправления. Плюс свой скрипт разбора результатов на Python. Опирайся на ключевые навыки профессии: Python, burp suite, Linux. Репозиторий с эксплойтами портфолио не считается — считается отчёт.
Какое образование нужно?
Профильный диплом по информационной безопасности помогает при входе в лицензируемую сферу и в компании с формальными требованиями. В остальном смотрят на отчёты и на то, как ты рассуждаешь про находку. Переход из администрирования, разработки или тестирования (22.7% вакансий упоминают его) — обычная история.
Сколько времени нужно, чтобы стать пентестером?
Медиана — 14–20 месяцев при самостоятельном обучении по 2–3 часа в день. С инженерной базой (администрирование, разработка, тестирование) — 8–12 месяцев: сети и системы уже знакомы, добавляется взгляд атакующего и отчётность. Медиана требований в вакансии — 13.5 навыков, и быстро этот список не закрывается.
Когда начинать откликаться?
Когда есть 2 отчёта с легального полигона и по каждому можешь объяснить, почему пошёл этой цепочкой и где остановился. Junior-позиций 2 вакансии — параллельно смотри задачи безопасной разработки и инженерные позиции с проверками в обязанностях: формулировка другая, вход шире.
Помогает ли багбаунти найти работу?
Помогает как публичная история: видно, что практика легальная, находки настоящие, а отчёты кто-то принял. Но это не замена работе — программы платят за результат, а не за время, и первые месяцы обычно проходят без выплат. Считай багбаунти полигоном с обратной связью от владельца системы.
Что спрашивают на собеседовании?
Веб и OWASP (50% вакансий), сети и Linux, работу с Burp Suite, разбор конкретной находки и обязательно — периметр и правила остановки. Самый частый разбор ситуации: собрал цепочку до продуктовой базы, что делаешь. Подробнее — в разделе «Собеседование» на этой странице.
Сколько зарабатывает начинающий Пентестер?
Ориентир для junior — 105 750–152 750 ₽ при медиане по профессии 235 000 ₽. Разбивка по грейдам и динамика — на странице зарплат пентестера.
Где посмотреть навыки пентестера?
На странице навыков пентестера — частотность по 22 вакансии, разбивка по грейдам и связки инструментов.