Этичный хакер ломает системы легально: по договору с компанией находит дыры в защите раньше, чем до них доберутся настоящие злоумышленники. За это платят от 80 000 ₽ на старте до 500 000 ₽ у сеньоров и Red Team, а участники bug bounty-программ снимают отдельные выплаты за каждую найденную уязвимость. Путь с полного нуля до первого оплачиваемого пентеста занимает 8–14 месяцев при 2–3 часах практики в день, а курсы этичного хакинга стоят от 60 000 до 180 000 ₽; при этом бесплатные полигоны вроде Hack The Box заменяют половину платного обучения.
Ниже — разложенный по месяцам план входа в профессию, список инструментов и языков в порядке изучения, разбор сертификатов (нужен ли OSCP новичку), критерии портфолио, площадки для первых заказов и 10 ошибок, на которых новички теряют по полгода. Цифры сверены с вакансиями по запросу «пентестер» на hh.ru и выплатами российских bug bounty-площадок на июль 2026 года. Если вы приходите из смежного IT — разработки, системного администрирования, DevOps — часть пути пройдёте быстрее, отдельно отмечу где. Общую же дорогу в отрасль мы раскладывали в материале о том, как войти в кибербезопасность с нуля.
КурсыСравнение 10 курсов для этичных хакеровЦены, школы, длительность, рассрочка
Кто такой этичный хакер
Этичный хакер (он же пентестер, «белый» хакер) — специалист по кибербезопасности, который атакует системы с разрешения владельца, чтобы найти уязвимости и отдать их на исправление. Он не крадёт данные и не ломает инфраструктуру ради выгоды: работает по контракту или в рамках bug bounty, а результат оформляет отчётом с рекомендациями. Главное отличие от разработчика или системного администратора — образ мышления «как это сломать» вместо «как это построить». Полный разбор задач, специализаций и того, чем пентестер отличается от багхантера и реверс-инженера, мы собрали в обзоре кто такой этичный хакер и как устроена его работа. Здесь же сосредоточимся на входе в профессию.
Короткий ответ — как стать этичным хакером с нуля
Если убрать детали, дорога в профессию выглядит так:
- освоить сети, протоколы и работу двух-трёх операционных систем, включая Linux;
- научиться программировать хотя бы на Python — для автоматизации и написания простых эксплойтов;
- разобраться в типовых уязвимостях: OWASP Top 10, ошибки конфигурации, слабые пароли;
- освоить рабочий инструментарий — Kali Linux, Burp Suite, nmap, Metasploit, Wireshark;
- набить руку на легальных полигонах: Hack The Box, TryHackMe, Standoff 365;
- собрать портфолио из решённых машин, отчётов и находок на bug bounty;
- откликнуться на джуниор-вакансии пентестера или зайти через стажировку.
КурсыСравнение 539 курсов по PythonЦены, школы, длительность, рассрочка
Что нужно, чтобы стать этичным хакером
Короткий список входных требований, чтобы прикинуть дистанцию до старта:
- База. Не нужно профильного диплома. Нужен уверенный пользователь ПК, английский на уровне чтения документации и усидчивость — разбор одной уязвимости может занять весь вечер.
- Знания. Компьютерные сети (TCP/IP, HTTP, DNS), Linux, основы веб-приложений и хотя бы один язык программирования.
- Инструменты. Kali Linux с набором утилит, Burp Suite для веба, nmap и Metasploit для сети. Всё бесплатно или с бесплатным тарифом.
- Бюджет. От нуля (открытые курсы и полигоны) до 180 000 ₽ за программу с наставником. Сертификат OSCP — отдельные ~$1499.
- Срок. 8–14 месяцев с нуля до первой работы, 4–6 месяцев при переходе из IT.
- Характер. Терпение, честность и любовь к головоломкам. Без внутренней этики в эту профессию заходить не стоит — доступ к чужим системам обязывает.
Дальше раскладываем каждый пункт по времени, деньгам и местам, где всё это берут.
План развития этичного хакера на 12 месяцев
Раздел для тех, кто стартует с нуля или из смежного IT и хочет за год дойти до первых откликов на вакансии. План рассчитан на 2–3 часа в день плюс выходные. Если вы уже администрируете серверы или пишете код — первые месяцы пройдёте вдвое быстрее и сразу возьмётесь за практику. Если параллельно работаете на другой работе — растяните сроки в полтора раза, это нормально.
Месяцы 1–3: фундамент
Цель квартала — перестать бояться командной строки и понять, как устроен трафик. Разбираете модель OSI и стек TCP/IP, учитесь читать вывод nmap и Wireshark, ставите Kali Linux второй системой или в виртуальную машину. Параллельно — Python с нуля: переменные, циклы, работа с сетевыми запросами через библиотеку requests. Хорошая опора на этом этапе — бесплатные комнаты TryHackMe по путям Pre Security и Complete Beginner. К концу третьего месяца вы должны спокойно сканировать сеть, поднимать простой сервер и писать скрипт, который перебирает список URL.
Месяцы 4–6: первые взломы на полигонах
Переходите к веб-уязвимостям и практике на живых, но легальных мишенях. Изучаете OWASP Top 10 не по списку, а руками: SQL-инъекции, XSS, IDOR, обход авторизации. Основной инструмент квартала — Burp Suite, основная площадка — Hack The Box с машинами уровня Easy. Заводите заметки в Obsidian или обычном markdown: каждая решённая машина — это будущая страница портфолио. К концу полугода за плечами должно быть 15–20 пройденных машин и понимание, как выглядит цепочка от разведки до получения доступа.
Совет. Ведите write-up на каждую решённую машину — что нашли, каким инструментом, где застряли. Через полгода эти заметки станут вашим портфолио, а на собеседовании их читают внимательнее, чем строчку про сертификат.
Месяцы 7–9: глубина и специализация
Пора выбрать направление и углубиться. Веб-пентест, сетевая инфраструктура, Active Directory, мобильные приложения — выбирайте то, к чему дольше не остываете. Берёте машины Medium на Hack The Box, проходите профильные модули HTB Academy или PortSwigger Web Security Academy (он бесплатный и считается эталоном по вебу). Начинаете читать чужие отчёты на HackerOne, чтобы видеть, как находки описывают профессионалы. В этот же период имеет смысл зарегистрироваться на российских bug bounty-площадках и осмотреться, даже если находок пока нет.
Месяцы 10–12: портфолио и отклики
Финишный рывок — упаковка и выход на рынок. Оформляете 5–7 лучших write-up в аккуратный GitHub или на личный сайт, добиваете первые находки на bug bounty (пусть даже уровня Low), заводите профиль на Standoff 365. Пишете резюме под запрос «джуниор-пентестер», откликаетесь на 30–50 вакансий и стажировок, готовитесь к практическим собеседованиям — на них дают тестовую машину и просят вслух показать ход мыслей. Параллельно можно замахнуться на сертификат, если позволяет бюджет.
Важный нюанс. Вход в профессию с полного нуля окупается за 12–18 месяцев: первые полгода-год вы вкладываете время и деньги почти без отдачи, зато после первой работы рост до 200 000 ₽ занимает обычно ещё год-полтора.
Что сдавать на этичного хакера после 9 и 11 класса
Отдельного экзамена «на хакера» не существует, но школьный вход в профессию есть через специальности информационной безопасности. После 9 класса можно уйти в колледж на направление вроде «Обеспечение информационной безопасности автоматизированных систем» — поступление по конкурсу аттестатов, профильные ЕГЭ не нужны, срок обучения 2 года 10 месяцев или 3 года 10 месяцев. После 11 класса для вуза по направлению «Информационная безопасность» обычно сдают русский язык, профильную математику и информатику (в части вузов — физику вместо информатики); точный набор зависит от конкретного вуза и года, ДВИ на большинстве программ нет.
Если школа уже позади, самый быстрый путь — онлайн-курсы и переподготовка: они не требуют ЕГЭ и дают практику быстрее, чем четыре года вуза. Подробно набор предметов, направления подготовки и сроки мы разбираем в отдельном материале — что сдавать на этичного хакера после 9 и 11 класса.
Где востребованы этичные хакеры
Спрос на пентестеров вырос вместе с числом утечек, и география рабочих мест давно вышла за пределы ИБ-компаний. Ниже — где джуниору проще всего зацепиться и что для этого пригодится.
| Сфера | Вход для джуна | Зарплата | Что ценят |
|---|---|---|---|
| ИБ-компании и пентест-подрядчики | средний | 100–200 тыс. ₽ | практика на полигонах, отчёты, OSCP как плюс |
| Банки и финтех | сложный | 150–300 тыс. ₽ | веб-пентест, знание регуляторики, аккуратность |
| Телеком и госсектор | средний | 120–250 тыс. ₽ | сетевой пентест, допуски, стабильность |
| IT-продукты и стартапы | лёгкий | 100–220 тыс. ₽ | веб и API, скорость, самостоятельность |
| Bug bounty (самозанятость) | лёгкий вход, тяжёлый доход | от 0 до сотен тыс. ₽ | усидчивость и умение искать нестандартное |
Джуниору логичнее всего целиться в ИБ-подрядчиков и продуктовые IT-компании: там ниже порог входа и быстрее набирается разнообразный опыт. Bug bounty стоит держать не как основную работу, а как полигон и генератор строчек в портфолио. Смежный путь — вырасти внутри кибербезопасности из аналитика SOC или системного администратора; как устроена эта дорога, мы описали в материале про то, как стать специалистом по кибербезопасности с нуля.
Плюсы и минусы профессии
Прежде чем вкладывать год жизни и деньги в обучение, стоит трезво разложить обе стороны. Профессия азартная, но не для всех.
Плюсы:
- Высокий и растущий спрос. Число вакансий пентестеров на hh.ru за последние годы кратно выросло, а дефицит кадров держит зарплаты выше рынка IT.
- Порог входа без диплома. Работодатель смотрит на практику и портфолио, а не на корочку — попасть можно из любой сферы.
- Дополнительный доход с bug bounty. Помимо оклада можно снимать выплаты за найденные уязвимости, иногда весьма крупные.
- Постоянный вызов. Каждая система — новая головоломка, рутины почти нет.
- Удалёнка и международные площадки. Многие пентесты и bug bounty делаются из дома, а навык универсален.
Минусы:
- Долгий и трудный старт. Первые полгода-год почти без денег и с постоянным ощущением «ничего не понимаю».
- Непрерывное обучение. Уязвимости и инструменты меняются каждый месяц — учиться придётся всю карьеру.
- Юридическая ответственность. Шаг за пределы разрешённого объёма работ — уже уголовная статья.
- Нестабильный доход на старте. Особенно если делать ставку только на bug bounty.
- Выгорание. Отчёты и дедлайны выматывают не меньше, чем сам взлом.
Профессия подходит тем, кто любит разбираться в устройстве систем, готов долго учиться без быстрой отдачи и спокойно относится к рутине отчётов. Не подойдёт тем, кто ищет лёгкий и быстрый заработок — романтический образ «хакера из кино» с реальностью пентеста имеет мало общего.
Что должен уметь этичный хакер
Навыки удобно прокачивать в том же порядке, в котором они пригождаются в работе. Ниже — что учить и зачем.
Сети и операционные системы
Фундамент всего. Нужно понимать, как ходит трафик (TCP/IP, HTTP, DNS, TLS), уметь читать логи и работать в двух мирах — Linux и Windows. Linux — рабочая среда пентестера: Kali или Parrot OS, командная строка, права доступа, скрипты на bash. Знание внутренностей Windows и Active Directory отдельно ценится в корпоративном пентесте.
Программирование
Полноценным разработчиком быть не нужно, но читать и писать код обязательно. Python закрывает автоматизацию и простые эксплойты, JavaScript помогает понимать атаки на веб, базовый SQL нужен для инъекций, а знакомство с C/C++ пригодится тем, кто уйдёт в бинарную эксплуатацию и реверс.
Уязвимости и методики
Ядро ремесла: OWASP Top 10, типовые ошибки конфигурации, слабые места аутентификации, разбор известных CVE. Важно не заучить список, а понимать логику — почему уязвимость возникает и как её эксплуатируют в цепочке.
Софт-скиллы и отчётность
Найти дыру — половина работы. Вторая половина — внятно описать её в отчёте так, чтобы разработчик понял риск и починил. Аналитическое мышление, английский для документации и дисциплина «остаться в рамках разрешённого» ценятся не меньше технических навыков. Про смежные направления защиты — в обзоре кто такой специалист по информационной безопасности.
Какой софт и инструменты учить
Инструментов в арсенале пентестера десятки, но джуниору достаточно освоить базовый набор. Остальное подтянется под конкретные задачи.
| Инструмент | Срок освоения | Лицензия | Для чего |
|---|---|---|---|
| Kali Linux | 1–2 недели | бесплатно | рабочая ОS со всеми утилитами из коробки |
| nmap | несколько дней | бесплатно | сканирование сети и портов, разведка |
| Burp Suite | 2–4 недели | free / Pro | перехват и анализ веб-трафика, поиск уязвимостей |
| Metasploit | 2–3 недели | бесплатно | эксплуатация известных уязвимостей |
| Wireshark | 1 неделя | бесплатно | разбор сетевого трафика на пакеты |
| sqlmap | несколько дней | бесплатно | автоматизация SQL-инъекций |
Стратегически стоит сделать основным Burp Suite для веба и Kali как среду — на них держится большая часть джуниорских задач. Платный Burp Suite Pro новичку не обязателен: бесплатной версии хватает на первый год. Инструменты — это руки, но без понимания уязвимостей они бесполезны, поэтому осваивайте их прямо на решении машин.
Четыре формата обучения
Дорогу в профессию проходят по-разному — от полного самоучки до профильного вуза. У каждого варианта своя цена, срок и аудитория.
| Формат | Цена | Срок | Кому подходит |
|---|---|---|---|
| Самоучка | 0–20 тыс. ₽ | 12–24 мес. | дисциплинированным с техническим бэкграундом |
| Онлайн-курс | 60–180 тыс. ₽ | 8–14 мес. | тем, кому нужны программа, практика и наставник |
| Колледж (СПО) | бюджет / от 60 тыс. ₽ в год | 2–4 года | после 9–11 класса, кому важен диплом |
| Вуз | бюджет / от 150 тыс. ₽ в год | 4–5 лет | идущим в госсектор и крупные корпорации |
Для большинства взрослых оптимален онлайн-курс с полигоном и проверкой домашних заданий: он экономит месяцы блужданий и даёт структуру, которой не хватает самоучке. Самообучение работает, но только при железной дисциплине и готовности самому собирать программу из десятков разрозненных источников. Вуз и колледж имеют смысл, если вам важен диплом для госсектора или вы поступаете сразу после школы. Живые подборки программ с ценами и рассрочкой удобно смотреть в каталоге курсов по кибербезопасности.
Канал основателя Checkroi Вани БуявцаПоказываю тебе, как публично строю Checkroi с нейросетями и делюсь цифрами, провалами и тем, что сработалоПодписатьсяВо сколько обойдётся вход в профессию
Стать этичным хакером можно почти бесплатно, но у большинства бюджет складывается из нескольких статей. Ниже — реалистичная раскладка для того, кто идёт с нуля и хочет за год выйти на первую работу.
| Статья расхода | Минимум | Комфортный вариант |
|---|---|---|
| Обучение | 0 ₽ (открытые курсы, TryHackMe free) | 60–180 тыс. ₽ (курс с наставником) |
| Подписки на полигоны | 0 ₽ | 1–4 тыс. ₽/мес (HTB, TryHackMe Premium) |
| Компьютер | любой ноутбук с 8 ГБ ОЗУ | 16 ГБ ОЗУ и SSD для виртуалок |
| Сертификат | 0 ₽ (не обязателен на старте) | ~$1499 за OSCP позже |
| Литература и материалы | 0 ₽ (документация, статьи) | 5–15 тыс. ₽ на книги и курсы по вебу |
Минимальный сценарий — это ноль рублей и максимум дисциплины: открытые пути TryHackMe, бесплатная академия PortSwigger, документация и комьюнити. Комфортный сценарий с курсом, подписками и последующим сертификатом уложится в 100 000–250 000 ₽ за первый год. Мощный компьютер не нужен — хватит любого ноутбука, который тянет пару виртуальных машин; облачные лаборатории и вовсе снимают вопрос железа.
На чём точно не стоит экономить. На времени практики. Дорогой курс без ежедневного решения машин не сделает вас пентестером, а бесплатный TryHackMe с двумя часами в день каждый вечер — вполне.
Портфолио этичного хакера: что показать работодателю
У пентестера нет диплома-пропуска — его заменяет портфолио. Именно по нему работодатель понимает, что перед ним человек с руками, а не с одними теоретическими знаниями. Что в него входит:
- Write-up решённых машин. 5–10 разборов с Hack The Box или TryHackMe: что нашли, каким путём, где застряли. Оформленные в GitHub или на личном сайте.
- Рейтинг на полигонах. Публичный профиль HTB с пройденными машинами — наглядное доказательство практики.
- Находки на bug bounty. Даже пара уязвимостей уровня Low на Standoff 365 или BI.ZONE Bug Bounty весит больше любого сертификата.
- Учебный отчёт по пентесту. Один полноценный отчёт по правилам индустрии показывает, что вы умеете и находить уязвимость, и внятно её описывать.
- Участие в CTF. Командные соревнования по кибербезопасности — и опыт, и знакомства в комьюнити.
Нужны ли сертификаты новичку
Короткий ответ — помогают, но не заменяют практику. Самый уважаемый практический сертификат — OSCP (около $1499 вместе с лабораторией): он всерьёз впечатляет работодателей и добавляет к зарплате 30–50 тыс. ₽. CEH без опыта, наоборот, часто воспринимают прохладно — это скорее теоретическая корочка. Для веб-направления полезен BSCP от PortSwigger. Новичку разумнее сначала собрать портфолио и найти первую работу, а сертификат брать уже как рычаг для повышения ставки, а не как входной билет.
КурсыСравнение 58 курсов по кибербезопасностиЦены, школы, длительность, рассрочка
Где искать первую работу
Каналы поиска первой работы стоит подключать сразу все — отклики на джуниорские позиции идут туго, и чем шире воронка, тем быстрее результат.
- hh.ru по запросам «пентестер», «специалист по анализу защищённости», «junior pentester» — основной источник штатных вакансий и стажировок.
- Российские bug bounty-площадки — Standoff 365 и BI.ZONE Bug Bounty: и практика, и первые деньги, и строчки в портфолио.
- Стажировки в ИБ-компаниях — часто их не публикуют на hh.ru, а анонсируют в своих телеграм-каналах и на профильных конференциях.
- Комьюнити и CTF — телеграм-чаты по пентесту, командные соревнования: половина первых офферов приходит через знакомства.
- Профильные конференции — Positive Hack Days, OFFZONE: точка входа в тусовку и к рекрутерам сразу.
Реалистичная воронка на старте выглядит скромно: из 40–50 откликов приходит 5–8 приглашений на собеседование и один-два оффера. Это нормально — первую работу берут измором, а не идеальным резюме.
Сколько зарабатывает этичный хакер
Вилка в профессии широкая и зависит от грейда, специализации и региона. В среднем по рынку пентестер получает 180 000–200 000 ₽, но разброс между новичком и топом кратный.
Ориентиры по грейдам: джуниор — 80 000–130 000 ₽, мидл — 150 000–250 000 ₽, сеньор и Red Team — 300 000–500 000 ₽. Отдельно стоит доход с bug bounty: у новичков это часто ноль или 5 000–20 000 ₽ в месяц, но после года практики находки приносят стабильные 50 000–200 000 ₽ поверх оклада.
Карьерная лестница короткая, но плотная: джуниор дорастает до мидла за 1–2 года активной практики, до сеньора — ещё за 2–3 года; дальше расходятся пути в Red Team, руководство ИБ или консалтинг. Полную вилку по грейдам, городам и источникам дохода мы разбираем в обзоре кто такой этичный хакер и сколько ему платят.
10 ошибок новичков
Эти грабли повторяются из истории в историю и стоят людям месяцев потерянного времени. Проще узнать о них заранее.
- Гонятся за инструментами вместо основ. Скачивают Kali и сотню утилит, не понимая сетей. Без фундамента инструменты бесполезны — начинайте с TCP/IP и Linux.
- Учат теорию без практики. Прочитанное забывается за неделю. Каждую тему сразу закрепляйте на машине HTB или TryHackMe.
- Пробуют «потренироваться» на чужих системах. Взлом без разрешения — уголовная статья, а не практика. Только легальные полигоны и bug bounty с явным скоупом.
- Хватаются сразу за OSCP. Дорогой сертификат без базы — слитые деньги. Сначала практика и портфолио, серт — потом.
- Не ведут заметки. Решённая и забытая машина — потраченный вечер. Write-up превращает практику в портфолио.
- Распыляются по всем направлениям. Веб, сеть, мобилки, реверс одновременно — каша в голове. Выберите одно направление и углубитесь.
- Игнорируют английский. Лучшие материалы, площадки и отчёты — на английском. Без чтения документации потолок наступает быстро.
- Боятся откликаться «рано». Ждут «идеальной готовности», которая не наступает. Откликайтесь, когда есть 15–20 машин и портфолио — остальное добьёте в работе.
- Недооценивают отчёты. Умеют ломать, но не умеют описывать. Работодателю нужен внятный отчёт, а не только факт находки.
- Учатся в одиночку. Без комьюнити застревают на первой же сложной машине. Чаты, CTF и разборы чужих write-up ускоряют рост в разы.
Где учиться на этичного хакера
Ниже — актуальная подборка онлайн-курсов по кибербезопасности и этичному хакингу с ценами, сроками и рассрочкой. Ориентируйтесь на программы с реальными полигонами, проверкой домашних заданий и помощью с трудоустройством — именно они экономят те самые месяцы блужданий.
| Курс | Школа | Стоимость со скидкой | В рассрочку | Длительность | Обзор курса от Checkroi |
|---|---|---|---|---|---|
| ДО Профессия Специалист по кибербезопасности 2.0 Перейти на сайт курса | 141 563 ₽ | 3933 ₽/мес. | 12 месяцев | Обзор курса | |
| Профессия Этичный хакер Перейти на сайт курса | 178 533 ₽ | 5477 ₽/мес. | 12 месяцев | Обзор курса | |
| Кибербезопасность Перейти на сайт курса | 800 000 ₽ | 465 ₽/мес. | 24 месяца | Обзор курса | |
| Магистратура «Кибербезопасность» с НИУ ВШЭ Перейти на сайт курса | 310 000 ₽ | 465 ₽/мес. | 23 месяца | Обзор курса | |
| Специалист по кибербезопасности Перейти на сайт курса | 145 900 ₽ | 6079 ₽/мес. | 5 месяцев | Обзор курса | |
| Информационная безопасность (Бакалавриат) Перейти на сайт курса | 440 000 ₽ | 36 667 ₽/мес. | 4 years | Обзор курса | |
| Профессия «Специалист по кибербезопасности» Перейти на сайт курса | 178 533 ₽ | 4606 ₽/мес. | 12 месяцев | Обзор курса | |
| ДО Кибербезопасность и приложения на Python Перейти на сайт курса | 74 400 ₽ | 250 000 ₽/мес. | Обзор курса | ||
| Белый хакер (Penetration Tester) (Бакалавриат) Перейти на сайт курса | 260 000 ₽ | 21 667 ₽/мес. | 4 years | Обзор курса | |
| Кибербезопасность: веб-пентест – расширенный Перейти на сайт курса | 153 500 ₽ | 6246 ₽/мес. | 4 месяца | Обзор курса |
Больше программ — в полном каталоге курсов по кибербезопасности
Главное о том, как стать этичным хакером в 2026
Дорога в профессию занимает 8–14 месяцев с нуля и строится по понятной логике: сначала сети, Linux и Python, затем уязвимости и практика на легальных полигонах, после — портфолио из write-up и находок на bug bounty, и только в конце — отклики и, при желании, сертификат. Диплом здесь не пропуск: работодатель смотрит на решённые машины и умение писать отчёты.
Реалистичный сценарий такой: первые полгода-год вы вкладываете время почти без отдачи, зато после первой работы за 80 000–130 000 ₽ рост до 200 000 ₽ и выше занимает ещё год-два активной практики. Профессия щедро платит за терпение и честность — и жёстко наказывает за попытки срезать угол.




