Перейти к основному содержимому

Карьера в белом хакерстве

ДЛЯ НОВИЧКОВ
Тестировщику Разработчику

Раздел 8.09, шаг 5 из 6.

Три траектории дохода

ТраекторияИсточник денегСтабильностьСвобода
Штат (AppSec, SOC, Red Team)Зарплата + бонусыВысокаяОграничена политикой компании
Консалтинг / пентест-фирмаПроекты, сменыСредняяЗависит от заказов
Bug Bounty / контрактыВыплаты за отчётыНизкая на стартеМаксимальная

Многие специалисты комбинируют: днём — AppSec в продукте, вечером — bounty на знакомых стеках.

Ориентиры по доходу (2025–2026, очень грубо)

РольРФ, gross/месЗапад / удалёнка на Запад
Junior AppSec / SOC120–200 тыс. ₽$70k–$100k/год
Pentester middle180–350 тыс. ₽$100k–$140k
Senior Red / Staff AppSec350–600+ тыс. ₽$150k–$250k+
Top bounty (год)$500k+ (единицы)

Цифры зависят от города, продукта и валюты контракта; bounty не гарантирует ежемесячный доход.

Должности в штате

Инженер по безопасности приложений (Application Security Engineer)

  • Встраивает безопасность в CI/CD (SAST, dependency scan, секреты в репозитории).
  • Проводит ревью опасных изменений (auth, crypto, загрузки).
  • Отвечает на отчёты bounty внутри компании.

Нужен сильный разработческий бэкграунд.

Пентестер / консультант по ИБ

  • Внешние или внутренние аудиты по методологии (PTES, OWASP WSTG).
  • Отчёты для руководства и регуляторов.
  • Сертификаты вроде OSCP, CEH, GPEN часто в вакансиях.

Red Team

  • Имитация реального противника (фишинг, persistence, lateral movement).
  • Меньше «чек-листа OWASP», больше сценариев APT.
  • Обычно опытные пентестеры 3–7+ лет.

Blue Team / SOC

  • Мониторинг, расследование, не поиск уязвимостей в продукте, а реагирование.
  • Пересечение с SIEM.

Product Security / Security Champion

  • Встроенный «адвокат безопасности» в продуктовой команде.

Независимый исследователь

Профиль full-time bounty hunter встречается реже, чем в медиа, но существует: топ-участники HackerOne зарабатывают сотни тысяч долларов в год, концентрируясь на 1–2 экосистемах (например, только Android или только SaaS).

Навыки:

  • быстрый recon и приоритизация целей;
  • глубина в одном классе (web logic, kernel, mobile);
  • дисциплина отчётов и переговоров с triage.

Риски: нестабильный доход, выгорание, юридические споры.

День из жизни AppSec-инженера (типично)

  • Утро: разбор ночных алертов SIEM, triage отчёта с HackerOne.
  • День: ревью PR с изменениями auth; созвон с разработкой по SAST finding.
  • Вечер: написание гайда для команды по безопасному использованию нового API.

День пентестера на проекте

  • Kick-off с заказчиком, уточнение scope.
  • 3–5 дней эксплуатации + документирование.
  • Презентация findings, передача видео PoC.
  • Через 2–4 недели — ретест закрытых пунктов.

Переход из смежных профессий

ОткудаЧто уже естьЧто добрать
Backend-разработчикКод, API, SQLOWASP, Burp, threat modeling
QA / автоматизацияСценарии, граничные случаиЭксплуатация, сети, CTF
Сисадмин / DevOpsИнфра, Linux, сетьВеб-логика, отчёты, OWASP WSTG
SOC-аналитикЛоги, IRАктивная эксплуатация, пентест

Портфолио: 2–3 write-up учебных CTF + 1–2 легальных отчёта (даже Informative) ценнее абстрактного «знаю Kali».

Обучение — практический маршрут

ЭтапДействие
1Сети, Linux, HTTP — основы ИБ
2Web — PortSwigger Academy (бесплатно)
3Практика — OverTheWire, PicoCTF
4CTF — CTFtime
5Лаборатории — Hack The Box, TryHackMe
6Первый легальный отчёт — программа с мягким scope (VDP, небольшой SaaS)

Курсы вроде Практикума «белый хакер» дают структуру, но не заменяют самостоятельную практику и чтение отчётов других исследователей (write-ups).

Книги и ресурсы (выборочно)

РесурсТема
The Web Application Hacker's Handbook (устаревает, но база)Веб
Penetration Testing (Georgia Weidman)Пентест цикл
Real-World Bug Hunting (Peter Yaworski)Bug Bounty
OWASP WSTGМетодология
MITRE ATT&CKТактики противника
Write-ups на HackerOne HacktivityРеальные кейсы

Конференции (для нетворкинга)

  • DEF CON, Black Hat (США)
  • Positive Hack Days, OFFZONE, ZeroNights (РФ/СНГ)
  • Hexacon, CCC (Европа)

Доклады исследователей часто публикуют санитизированные PoC после эмбарго — хороший учебный материал.

Сертификации (ориентир для HR)

СертификатАкцент
OSCP (Offensive Security)Практический пентест, hands-on экзамен
OSWEWeb-эксплуатация
BSCP (Burp)Web через Burp Suite
CEH / CompTIA Security+Теория, база для собеседований
GWAPTWeb application

Для разработчика, идущего в AppSec, ценнее иногда опыт кода + OWASP, чем OSCP.

СертификатСрок подготовкиЗаметка
Security+1–2 мес.Теория, entry
OSCP3–6 мес.24h экзамен, много практики
BSCP1–3 мес.Фокус на Burp и веб
OSEP / OSEDПосле OSCPПродвинутая эксплуатация

Матрица навыков

НавыкПентестAppSecBounty hunter
Сети (TCP/IP, DNS)★★★★★★★
Веб (HTTP, JWT, OAuth)★★★★★★★★★
Код (Java/Go/PHP…)★★★★★★★
Написание отчётов★★★★★★★★
Exploit dev (native)★★★★★ (узкая ниша)
Soft skills / этика★★★★★★★★★

Навыки, которые проверяют на собеседовании

  • объяснить IDOR, SSRF, SQLi на доске;
  • прочитать фрагмент кода и найти ошибку auth;
  • описать процесс CVD и состав отчёта;
  • рассказать про свой (учебный) CTF или лабораторный отчёт.

Типовые live задачи: найти IDOR в демо-приложении; объяснить, как бы вы сообщили о находке вендору; прочитать фрагмент лога и выделить IOC.

Этика и репутация

В индустрии маленький мир: Hall of Fame, ники на HackerOne, конференции (DEF CON, Positive Hack Days, OFFZONE).

Репутация ломается:

  • публикацией 0-day без координации;
  • тестом вне scope;
  • продажей доступа на чёрном рынке.

OPSEC для исследователя

  • Отдельная VM или Kali в изолированной сети для тестов.
  • VPN не спасает от нарушения закона — только scope.
  • Не хранить чужие ПДн на личном диске после PoC.
  • PGP-ключ для security@ — по желанию вендора.

Краткий итог

Карьера белого хакера — это штат, консалтинг или bounty (часто гибрид). Вход через сети, веб, CTF и первый легальный отчёт. Сертификаты помогают в пентест-фирмах; в продуктовом AppSec важнее код и процессы. Завершение раздела — конфликты и публичное раскрытие.

Связанные темы

См. также

Другие статьи этого же раздела в боковом меню (как на странице "О разделе").

Освоение главы0%