По этой профессии сейчас мало активных вакансий, поэтому рыночные цифры на странице ориентировочны. Путь входа, навыки и типовые ошибки от объёма выборки не зависят.
Как стать пентестером: путь от нуля до первого оффера
Не «стань разработчиком за 3 месяца» — реальный путь входа на основе данных по 22 вакансии.
Можно ли стать пентестером с нуля
Да. По данным SkillStat, 9% вакансий пентестера — уровня junior или стажёр. Это 2 вакансии прямо сейчас.
«С нуля» для пентестера — это без коммерческих проверок, но с уже собранной инженерной базой. К первому отклику нужно держать Linux, понимать сети и HTTP, читать чужое приложение и по коду, и по трафику, уверенно работать в Burp Suite и доводить находку до воспроизводимого доказательства. Медиана требований в вакансии — 13.5 навыков: одна из самых длинных заявок в безопасности, и половина списка про то, где ты остановишься, а не что запустишь.
Трудность входа не в инструментах. Сканер найдёт открытый порт за минуту, а объяснить, почему одна ошибка конфигурации ведёт к чужим заказам, а соседняя просто шумит, за минуту нельзя. Плюс правовая рамка: практиковаться можно только там, где есть разрешение — учебный полигон, CTF, собственный стенд, программа багбаунти с опубликованным периметром. Всё остальное закрывает не вакансию, а профессию.
Как стать пентестером: короткий план
Пять шагов от первого разбора трафика до отчёта, по которому разработчик воспроизведёт находку и закроет её.
Что учить пентестеру первым
Не всё сразу. Вот очерёдность по частотности в вакансиях — от самого нужного к менее срочному.
| Навык | Все вакансии |
|---|---|
| Python | 95.5% |
| burp suite | 63.6% |
| Linux | 59.1% |
| Bash | 54.5% |
| OWASP | 50% |
| Windows | 40.9% |
| Java | 36.4% |
| PowerShell | 31.8% |
| metasploit | 31.8% |
| Active Directory | 31.8% |
«Все вакансии» — доля из 22 вакансии. Обновлено 19 июля 2026.
Полный список навыков с частотностью, связками и зарплатной премией — навыки пентестера →
Roadmap пентестера: от нуля до junior
Порядок опирается на частотность навыков по данным вакансий. Первые 4–5 этапов — минимум для первого оффера.
- 01Сети и операционные системы 59.1% вакансий
TCP/IP, DNS, сетевые протоколы, администрирование Linux и Windows.
Подробнее → - 02Основы информационной безопасности
Модели угроз, управление уязвимостями, базовые понятия ИБ, CVSS.
- 03SIEM и мониторинг событий
Централизованный сбор логов и событий: QRadar, Splunk, MaxPatrol SIEM.
Подробнее → - 04Анализ инцидентов
Расследование событий ИБ, форензика, работа с индикаторами компрометации (IoC).
- 05Скриптинг 95.5% вакансий
Python или Bash для автоматизации задач ИБ и написания детектирующей логики.
Подробнее → - 06Пентест и форензика middle+
Инструменты тестирования на проникновение: Kali Linux, Metasploit, Burp Suite.
- 07Compliance и регуляторика middle+
ISO 27001, GDPR, ФЗ-152, процессы лицензирования ФСТЭК/ФСБ.
Junior-вакансии пентестера: что реально требуют работодатели
Срез построен на 22 активных вакансии.
Какие проекты сделать для портфолио
Портфолио пентестера — не репозиторий с эксплойтами. Это отчёты: где разрешили, что нашёл, как воспроизвести, чем это грозит бизнесу и что показала проверка после исправления. Публиковать можно только полученное на легальной площадке — учебный полигон, CTF, свой стенд, багбаунти с разрешением на раскрытие.
Как оформить GitHub и резюме
- Публичный репозиторий с отчётами: одна папка — одна проверка, с указанием площадки и разрешения
- В README каждого отчёта: периметр, ограничения, среда, находка, влияние, рекомендация, повторная проверка
- Никаких рабочих эксплойтов против чужих систем и никаких данных заказчика — это отсеивает быстрее, чем пустой профиль
- Скриншоты только со своего стенда или полигона: чужие домены и адреса замазывай
- Профиль на CTF-площадке и в программе багбаунти — ссылкой: там видно, что практика легальная
- Скрипты на Python — отдельным репозиторием: 95.5% вакансий пентестера требуют язык, и код читают
- Раздел «Учебные проверки» вместо «Опыт работы»: каждый отчёт описывается как рабочая задача
- По каждой находке: класс риска, чем подтвердил, что это дало бы атакующему, что рекомендовал
- Навыки — только рабочие: Python, burp suite. «Проходил лабораторию» без отчёта читается как ноль
- Назови площадки, где практиковался, и напиши прямо, что периметр был разрешённым
- Смежный опыт — валюта: администрирование, разработка, тестирование (22.7% вакансий упоминают его). Ты уже видел, как ломаются системы
«Прошёл курс по пентесту, работал с Burp Suite и Nmap, изучил OWASP Top 10»
«На учебном полигоне разобрал веб-приложение: нашёл обход проверки роли в API заказов — обычный пользователь читал чужие заказы по прямому идентификатору. Подтвердил повтором запроса в Burp Suite, зафиксировал шаги воспроизведения, оценил влияние: доступ к персональным данным всех клиентов. После исправления проверил повторно. Отчёт: [ссылка]»
Самостоятельно, курсы или вуз — какой путь выбрать
Курсы для пентестера
Сопоставили программы с реальным стеком из 22 вакансии — оценка соответствия рассчитана автоматически, это не реклама.
Когда начинать искать первую работу
Готов, когда можешь взять незнакомое разрешённое приложение, за день найти находку, довести её до воспроизводимых шагов и объяснить разработчику, что чинить и в каком порядке. Ощущение «я знаю все уязвимости» не придёт никогда — а вакансии закроются.
- → hh.ru: фильтр junior и стажировка, плюс запросы «специалист по анализу защищённости» и «AppSec» — формулировка другая, работа та же
- → Компании, которые продают проверки как услугу: там поток проектов и наставник, а новичка ставят вторым в паре
- → Продуктовые команды со своей безопасностью: вход через задачи безопасной разработки, проверки добавляются позже
- → Программы багбаунти: это не работа, но публичная история находок, которую можно показать в отклике
- → «Опыт от 3 лет» у пентестера читается как «водил проверку сам». Учебный отчёт с периметром, находкой и повторной проверкой бьёт этот пункт лучше строчки про курс
- → Смотри, чей периметр: веб и API, внутренняя сеть с Active Directory (31.8% вакансий) или мобильные приложения — это разная подготовка
- → «Знание Python» (95.5% вакансий) — про скрипты для рутины, а не про разработку. Не отсеивай себя
- → SIEM в требованиях — про то, где всплывёт твоя активность на проверке. Читать это как «нужен опыт мониторинга» не надо
- → Совпало больше половины пунктов — откликайся. Медиана требований — 13.5 навыков, весь список не закрывает и работающий специалист
Что спрашивают на собеседовании
Web и OWASP
- ·Как проверишь, что роль пользователя не проверяется на сервере
- ·Чем уязвимость авторизации отличается от уязвимости аутентификации
- ·Как найдёшь ошибку в бизнес-логике, которой нет в OWASP
- ·Сканер дал находку — как отличишь её от ложного срабатывания
Отчёт по веб-приложению из портфолио: покажи, чем подтвердил находку
Сети, Linux и Windows
- ·Что показывает Nmap и чего он не показывает
- ·Как поднять права на Linux-хосте, где ты обычный пользователь
- ·Чем сервисная учётка в Active Directory опаснее пользовательской
- ·Куда попадёт твоя активность в логах и в SIEM
Лаборатория на Active Directory: расскажи, что настроил и что оказалось лишним
Периметр и правила остановки
- ·Что уточняешь до начала проверки
- ·Собрал цепочку до продуктовой базы — твои действия
- ·Где заканчивается разрешённое и начинается ущерб
- ·Как ты практиковался и где брал разрешение
Любой отчёт: покажи раздел с границами и правилами остановки
Отчётность и повторная проверка
- ·Как оценишь приоритет находки
- ·Что напишешь разработчику и что руководителю
- ·Как выглядит повторная проверка после исправления
- ·Заказчик говорит, что риск принят — что делаешь
Отчёт с повторной проверкой: покажи, что изменилось после исправления
Скрипты
- ·Зачем Python на проверке, если есть готовые инструменты
- ·Что именно ты автоматизировал в разборе результатов
- ·Bash или PowerShell: когда что
- ·Где скрипт может навредить проверяемому сервису
Свой инструмент на Python: что делает и чего не умеет
Сколько времени нужно, чтобы стать пентестером
Почему «OWASP за месяц» не равно «работа через месяц». Классы уязвимостей правда читаются за месяц. Дальше идут месяцы полигонов, отчёты, отклики и собеседования, где спрашивают не список рисков, а как ты доказал конкретную находку и почему остановился именно там.
Скорость решают три вещи: была ли инженерная база до старта, есть ли свой стенд и пишешь ли ты отчёт после каждой лаборатории. Без третьего пункта год практики превращается в список пройденных машин.
Ошибки новичков
Учат инструменты вместо систем
Почему мешает: Burp Suite и Nmap показывают ответ, но не объясняют его. Без сетей, Linux и HTTP находка неотличима от шума
Как исправить: Сначала Linux (59.1% вакансий) и TCP/IP (22.7%), потом кнопки
Практикуются там, где не разрешено
Почему мешает: Проверка чужой системы без согласия — не портфолио, а статья. И это первое, что уточнит работодатель
Как исправить: Только легальные площадки: учебные полигоны, CTF, свой стенд, багбаунти с опубликованным периметром
Собирают флаги вместо отчётов
Почему мешает: Пройденная машина показывает, что ты повторил чужой путь. Работодателю нужно, чтобы ты объяснил свой
Как исправить: После каждой лаборатории — отчёт: периметр, находка, воспроизведение, влияние, рекомендация
Верят сканеру
Почему мешает: Автоматика даёт ложные срабатывания пачками. Отчёт, собранный из выгрузки сканера, обесценивает всю проверку
Как исправить: Каждую находку подтверждай руками: повтори запрос, воспроизведи условие, проверь влияние
Пропускают Python
Почему мешает: Python — в 95.5% вакансий пентестера, самый частый навык профессии. Без него рутину разбираешь глазами
Как исправить: Скрипты для сбора и разбора результатов: Python и Bash (54.5% вакансий) — этого хватает
Живут только вебом
Почему мешает: Windows — в 40.9% вакансий, Active Directory — в 31.8%. Внутренняя сеть кормит половину проектов
Как исправить: Подними домашний домен: пользователи, группы, сервисные учётки, права
Пишут отчёт для себя
Почему мешает: Разработчик не воспроизведёт находку по фразе «уязвимо к обходу авторизации». Исправления не будет
Как исправить: В каждой находке: шаги воспроизведения, условия, ожидаемое и полученное поведение, влияние на бизнес
Не читают код приложения
Почему мешает: PHP — в 31.8% вакансий, Java — в 36.4%, JavaScript — в 31.8%. Смотреть в исходники приходится чаще, чем кажется
Как исправить: Учись читать чужой код настолько, чтобы находить проверку роли — и замечать, где её нет
Как SkillStat считает данные
Источник: 22 вакансии в московском сегменте. Навыки и грейды извлекаются автоматически из текста каждой вакансии.
Грейды: определяются по требованиям вакансии — уровню опыта, упоминанию «junior», «intern», «стажёр». Это рыночная оценка объявления.
Сложность входа: рассчитывается по доле junior-вакансий и медиане навыков на junior-уровне. Это индикатор, а не гарантия.
Обновление: данные пересчитываются регулярно. Текущий срез — 19 июля 2026.