Полтора года назад мы начали вести стажёров в пентест-команде - за это время через полигон прошли больше тридцати человек. Самая частая ошибка одна и та же: поставить Kali, запустить
nmap -sV по первому попавшемуся IP и ждать, что инструмент сам "взломает". Потом удивлённые глаза: "А что дальше?" Роадмап ниже построен иначе - каждый инструмент привязан к конкретному этапу атаки по MITRE ATT&CK, каждый навык - к реальной задаче на коммерческом проекте, а каждая фаза обучения - к конкретному месяцу с измеримым результатом.Почему роадмап - это граф зависимостей, а не линейный список
Русскоязычные статьи про пентест с нуля обычно сводятся к перечислению: "изучи сети, поставь Kali, запусти Nmap, сдай OSCP". Проблема в том, что реальный пентест в 2026 году - это не фристайл-хакинг. По данным hadess.io, типичный рабочий цикл пентестера выглядит так: получение scope-документа, разведка строго в рамках scope, идентификация уязвимостей через комбинацию автоматизированного сканирования и ручного тестирования, эксплуатация с демонстрацией импакта, и - отчёт, который зачастую важнее самого взлома. Подробнее - в нашем материале про валидация безопасности.Профессия раздробилась на специализации: тестирование веб-приложений, инфраструктурный пентест, облачные среды (AWS, Azure, GCP), мобильные приложения, API, red teaming. Этот роадмап покрывает фундаментальный путь, после которого можно осознанно выбрать направление.
Без IT-бэкграунда закладывайте 12–18 месяцев до конкурентного уровня для джуниорской позиции. С опытом в администрировании или разработке - 8–12 месяцев. Не быстрее. Кто говорит "за три месяца" - либо лукавит, либо имеет в виду "за три месяца научитесь запускать чужие инструменты без понимания, что они делают".
Этапы пентеста через призму kill chain
Прежде чем хвататься за инструменты - разберитесь, зачем каждый из них существует. Каждый инструмент в арсенале пентестера занимает конкретное место в цепочке атаки. Маппинг этапов пентеста на тактики MITRE ATT&CK:
| Этап пентеста | Тактика ATT&CK | Техника | Инструменты |
|---|---|---|---|
| Разведка и сканирование | Reconnaissance | Vulnerability Scanning (T1595.002) | Nmap, Shodan, theHarvester |
| Обнаружение сервисов | Discovery | Network Service Discovery (T1046) | Nmap -sV, masscan |
| Получение доступа | Initial Access | Exploit Public-Facing Application (T1190) | Metasploit, ручная эксплуатация |
| Повышение привилегий | Privilege Escalation | Exploitation for Privilege Escalation (T1068), Valid Accounts (T1078) | LinPEAS, WinPEAS, ручной анализ |
| Получение учётных данных | Credential Access | LSASS Memory (T1003.001) | Mimikatz, secretsdump.py |
| Латеральное перемещение | Lateral Movement | Pass the Hash (T1550.002), Remote Desktop Protocol (T1021.001) | CrackMapExec/NetExec, xfreerdp |
Эта таблица - не декорация. Она определяет порядок, в котором вы учите инструменты. Nmap бесполезен без понимания сетей. Mimikatz бессмысленен без доступа к хосту. CrackMapExec не сработает, если вы не получили хеш или пароль на предыдущем шаге. Цепочка - или ничего.
Фаза 1 - фундамент: сети, системы и скриптинг (месяцы 1–3)
Требования к окружению
- ОС хоста: Windows 10/11 или GNU/Linux (Ubuntu 22.04+)
- RAM: минимум 8 ГБ (одна атакующая VM + одна цель), рекомендуется 16 ГБ
- Гипервизор: VirtualBox (бесплатно) или VMware Workstation Player
- Диск: 60+ ГБ под виртуальные машины
- Сеть: нужен интернет для загрузки образов, далее работа offline
Что изучать по месяцам
Месяц 1: TCP/IP и сетевая архитектура. Не "посмотреть видео про OSI-модель". Конкретный минимум: субнетирование руками (пентестеры, которые не могут быстро посчитать подсеть, теряют время на проектах), разница между коммутатором и маршрутизатором, VLAN, NAT, механика ARP и DHCP.Практическое задание: поднимите две VM в разных подсетях, настройте маршрутизацию между ними, запустите Wireshark и посмотрите, как реально выглядит TCP handshake, ARP-запрос, DNS-резолв. Это формирует понимание "нормального" трафика - без него вы не отличите аномалию от легитимного поведения при тестировании. Звучит скучно? Может быть. Но на проекте, где заказчик спрашивает "а почему вы решили, что этот трафик аномальный?", эта база спасает.
Месяц 2: Linux и Windows. Две недели на GNU/Linux: настройка сервисов из командной строки (Apache, SSH, FTP, MySQL), файловые права, cron, управление пользователями и процессами. Затем Windows: базовые концепции Active Directory, Group Policy, службы, реестр и PowerShell.
Ключевой инструмент фазы - Nmap (Network Service Discovery, T1046, discovery). Место в kill chain: этап разведки и обнаружения сервисов на целевых хостах. Базовый запуск на внутреннем пентесте:
Bash:
nmap -sV -sC -oA scan_results 192.168.1.0/24-sV определяет версии сервисов, -sC запускает стандартные NSE-скрипты для дополнительной разведки, -oA сохраняет вывод во всех форматах для последующего анализа. Открытый порт 445 говорит о SMB и потенциале для relay-атак на внутреннем пентесте. Порт 8080 - веб-приложение, возможно, с дефолтными учётными данными. На одном проекте мы так нашли забытый Jenkins без авторизации - классика жанра.[Применимо: внешний и внутренний пентест, все типы инфраструктуры]
Ограничения Nmap: на внешнем пентесте агрессивное сканирование детектируется IDS/IPS (Suricata, Snort, коммерческие решения). На внутреннем - тоже, при наличии мониторинга сетевого трафика. Для снижения заметности используйте
--scan-delay и тайминг -T2, но помните: scope и правила взаимодействия определяют допустимую "шумность". Если в RoE написано можно шуметь - шумите. Если нет - -T2 и терпение.Месяц 3: скриптинг. Python и Bash - минимальный набор. Цель не становиться разработчиком, а уметь: написать парсер вывода Nmap, автоматизировать перебор параметров, модифицировать чужой эксплойт под конкретную цель. PowerShell - для понимания пост-эксплуатационных скриптов в Windows-средах. Если не можете поправить чужой Python-эксплойт под свою цель - вы зависите от чужих инструментов. А они не всегда работают как надо.
Фаза 2 - безопасность веб-приложений (месяцы 4–6)
Тестирование веб-приложений - область с наибольшим спросом. Организации чаще заказывают тесты веб-приложений и API, чем инфраструктурные тесты, и порог входа чуть ниже.
OWASP Top 10 и методология пентеста веб-приложений
Изучайте OWASP Top 10 не как чеклист для зазубривания, а как модель рисков. Категории, на которых строится большая часть реальных находок:Broken Access Control (A01:2021) - по данным OWASP, 94% приложений тестировались на ту или иную форму нарушения контроля доступа. На практике это IDOR, горизонтальная эскалация привилегий, обход авторизации в API-эндпоинтах. Самая "хлебная" категория - находки тут почти всегда critical или high.
Injection (A03:2021) - SQL, NoSQL, OS, LDAP-инъекции. Классика, которая до сих пор встречается в каждом втором-третьем веб-проекте. Казалось бы, 2026 год, ORM везде - а нет, кто-то опять конкатенирует строки в SQL-запросе.
SSRF (A10:2021) - Server-Side Request Forgery. В облачных средах SSRF - путь к метаданным инстанса и далее к полной компрометации инфраструктуры. Один запрос к
http://123.421.169.254/ - и вы читаете IAM-креды.Разверните уязвимые приложения: DVWA (Docker:
git clone https://github.com/digininja/DVWA.git && cd DVWA && docker compose up -d), OWASP Juice Shop (Angular + Node.js, содержит все категории OWASP Top 10), WebGoat. Ищите уязвимости вручную прежде, чем запускать инструменты. Руки первыми, сканер - вторым.Инструменты фазы 2
Burp Suite - основной инструмент веб-пентестера. Не просто прокси: Repeater для модификации и повторной отправки запросов, Intruder для перебора параметров, Comparer для сравнения ответов сервера. На проекте в Burp проводите 60–70% рабочего времени. Community Edition бесплатна, для коммерческой работы нужна Professional версия (и она себя окупает на первом же проекте).[Применимо: внешний и внутренний пентест веб-приложений, API-тестирование]
sqlmap - автоматизация обнаружения и эксплуатации SQL-инъекций (GPLv2, Python 2.7/3.x, активно поддерживается: sqlmapproject/sqlmap). Типичное использование после обнаружения потенциальной точки инъекции через Burp:
Bash:
python sqlmap.py -u "http://target/page?id=1" --dbs --batchМесяц 6: отчётность и методология. Проведите полный тест веб-приложения по OWASP Testing Guide v4.2. Задокументируйте всё. Напишите отчёт с executive summary, детальными находками (severity, evidence, impact, remediation) и разделом методологии. Попросите кого-нибудь прочитать ваш отчёт - если человек не понял, что вы нашли и почему это плохо, отчёт нужно переписывать. Качество отчётов напрямую влияет на трудоустройство.
Фаза 3 - инфраструктурный пентест и Active Directory (месяцы 7–12)
Здесь начинается работа с внутренней сетью. На реальном проекте вы приходите с ноутбуком, получаете сетевую розетку или VPN - и дальше всё зависит от scope.
Требования к окружению для AD-полигона
- RAM: минимум 16 ГБ, рекомендуется 24 ГБ (контроллер домена + 2–3 рабочих станции + атакующая VM)
- Гипервизор: VMware Workstation или Proxmox для серьёзного полигона
- ОС целей: Windows Server 2019/2022, Windows 10/11
- Атакующая ОС: Kali Linux 2024.x+ или Parrot OS
Разведка и получение доступа
Metasploit - открытая платформа для эксплуатации уязвимостей (лицензия BSD, предустановлен в Kali, документация: docs.metasploit.com). Место в kill chain: Initial Access через Exploit Public-Facing Application (T1190).[Применимо: внешний пентест - ограниченно (стандартные payload'ы детектируются IPS); внутренний пентест - основной инструмент для legacy-инфраструктуры]
Ограничения Metasploit: стандартные payload'ы (meterpreter) детектируются современными EDR: CrowdStrike Falcon, SentinelOne, Elastic EDR 8.x+, Kaspersky EDR Expert. На проектах с modern-инфраструктурой Metasploit применяется для проверки конкретных CVE, не как основной C2-фреймворк. Для обхода EDR в production-средах используются кастомные loader'ы и альтернативные фреймворки, но это уровень Middle+. Если meterpreter прилетел на хост с CrowdStrike - алерт будет раньше, чем вы успеете набрать
getuid.Active Directory: black box и grey box
Black box (ноль учётных данных): начинаете с Responder для перехвата NTLMv2-хешей через LLMNR/NBT-NS poisoning, ntlmrelayx для relay-атак. Цель - получить первые credentials. Иногда на это уходит пять минут (если LLMNR не отключён), иногда - два дня.Grey box (выданы low-priv учётные данные) - стандартный формат коммерческих пентестов. Заказчик выдаёт обычный доменный аккаунт, и вы сразу переходите к таргетированному анализу. Decision tree для grey box:
- Запустите BloodHound Collector (SharpHound) с low-priv аккаунтом - визуализация путей эскалации
- Найдите shortest path to Domain Admin
- Проверьте Kerberoastable-аккаунты (SPN-аккаунты с weak passwords)
- Проверьте AS-REProastable-аккаунты (не требуется предварительная аутентификация Kerberos)
- Проверьте делегирование (unconstrained/constrained delegation)
Дамп учётных данных - LSASS Memory (T1003.001, Credential Access). После получения привилегированного доступа к хосту - извлечение хешей и паролей из памяти процесса LSASS. Инструменты: Mimikatz на Windows, secretsdump.py из Impacket (активно поддерживается: fortra/impacket) для удалённого извлечения.
Когда техника НЕ работает: включён Credential Guard (виртуализированная защита LSASS), целевой аккаунт в Protected Users security group, на хосте EDR с защитой LSASS (CrowdStrike Falcon с sensor tamper protection, SentinelOne). В таких случаях Mimikatz просто не достанет plaintext-пароли из памяти - придётся искать другие пути.
Латеральное перемещение - Pass the Hash (T1550.002, Lateral Movement). Полученный NTLM-хеш используется для аутентификации на других хостах без знания plaintext-пароля. Инструмент: NetExec (форк CrackMapExec, активно поддерживается: Pennyw0rth/NetExec). Альтернатива - Remote Desktop Protocol (T1021.001) при наличии plaintext-пароля: подключение через
xfreerdp.Методология пентеста и отчётность
Методология - то, что отличает пентестера от человека с набором инструментов. Три фреймворка, которые нужно знать:
| Методология | Область применения | Когда использовать |
|---|---|---|
| PTES (Penetration Testing Execution Standard) | Инфраструктура | Внутренние и внешние сетевые тесты |
| OWASP Testing Guide v4.2 | Веб-приложения | Тестирование веб-приложений и API |
| OSSTMM | Комплексный аудит | Аудит с покрытием физической безопасности |
На коммерческих проектах комбинируете: PTES для общей структуры + OWASP Testing Guide для веб-части. Отчёт привязывается к методологии - заказчик видит, что тестирование систематическое, а не "запустил сканер и посмотрел, что вышло".
Структура стандартного отчёта: Executive Summary (для руководства, без технического жаргона - CISO с юридическим образованием должен понять, что произошло), методология и scope, детальные находки (severity по CVSS, доказательства, бизнес-импакт, рекомендации по устранению), приложения с логами и скриншотами.
Сертификации пентеста: что сдавать и сколько стоит вход
| Сертификация | Формат | Примерная стоимость (USD) | Для кого |
|---|---|---|---|
| eJPT (INE Security) | Практический, 48 часов | ~$250 | Начальный уровень, первая сертификация |
| OSCP (OffSec PEN-200) | Практический, 24 часа + отчёт | ~$1,749 (курс + 1 попытка) | Средний уровень, стандарт индустрии |
| CEH (EC-Council) | Теоретический MCQ + практический | ~$1,199 | Compliance-требования, HR-фильтр |
Актуальные цены - на сайтах OffSec, INE Security, EC-Council. Для перевода в RUB используйте курс на дату покупки.
Корпоративная оплата: крупные интеграторы и банки в России компенсируют стоимость сертификации. Типичные условия: отработка 1–2 года после получения, возврат суммы при увольнении раньше срока. Обсуждайте это при найме - в бюджете на развитие сотрудников обычно есть строка на обучение. Не стесняйтесь спрашивать: большинство компаний готовы платить за OSCP, если вы готовы остаться на проекте.
По данным Skillbox (2026), зарплатные ориентиры для пентестеров на российском рынке: Junior (до года опыта) - от 98,000 RUB, Middle (1–3 года) - от 172,000 RUB, Senior (5–7 лет) - от 317,000 RUB.
Лаборатория для отработки навыков
, а не pip в системный Python (иначе рано или поздно сломаете зависимости - проверено). Для Go-инструментов (gobuster, nuclei, subfinder) -
go install. Для стека ProjectDiscovery есть утилита pdtm, которая устанавливает и обновляет весь набор (subfinder, httpx, nuclei) единой командой.
Большинство роадмапов заканчиваются на "изучи инструменты и практикуйся на HTB". В реальности разница между человеком, который два года решал CTF, и тем, кто провёл три коммерческих пентеста - не в техническом уровне. Она в умении написать отчёт, который прочитает CISO с юридическим образованием, и на созвоне объяснить разработчикам, почему SQLi в "тестовом" эндпоинте - это critical, а не informational.
Я видел десятки джунов, которые получали reverse shell за пять минут, но не могли написать два абзаца о бизнес-импакте. Отчёт, который никто не может прочитать - провал проекта, даже если технически всё идеально. Начинайте писать параллельно с изучением инструментов: каждую машину на HTB описывайте в формате пентест-отчёта - executive summary, findings, remediation. Через полгода у вас будет портфолио, которое на собеседовании скажет больше, чем "прошёл 50 машин".
И ещё одна неудобная правда: "пентестер широкого профиля" - амплуа на первые 2–3 года карьеры. Дальше рынок требует специализации: веб, инфраструктура, AD, облака. Определиться стоит уже во время обучения - и строить лабораторию под конкретное направление, а не распыляться на всё одновременно. Попробуйте каждое направление по месяцу, выберите то, от чего не хочется уходить в два ночи - и копайте вглубь. На WAPT, например, эту цепочку от разведки до отчёта проходят в рамках двух модулей с лабами.
Последнее редактирование модератором:
