• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Ряд вопросов от начинающего.

cQfrex

One Level
14.04.2025
4
1
Всем привет. Назрел такой вопрос, на который достаточно много раз уже ответили на просторах сети. Хочу задать его именно на этом форуме.
По вашему мнению, сколько времени требуется для изучения пентеста с азов до возможности фриланса по программам bug bounty с получением хоть каких то денег?

Да-бы не спамить вопросами на форуме, второй вопрос.
Сколько фундаментальных знаний направления(по возможности, каких?) нужно, для первой практики и решения учебных кейсов на различных форумах?
 
Насчет сроков:
Если впахивать по 4–6 часов в день, то через полгода-год уже можно ловить первые баги на хайповых платформах вроде HackerOne. Но это если:
  • Не просто смотреть видосы на ютубе, а реально гонять CTFшки (HackerLab, HTB, THM).
  • Залипать в Burp Suite, nmap и SQLmap, пока не начнешь видеть HTTP-запросы во сне.
  • Погрузиться в OWASP Top 10 так, чтобы объяснять XSS и SQLi даже своей кошке.
А дальше — еще 3–6 месяцев на раскачку:
  • Качаешь скилл написания отчетов (без этого даже крутой баг закроют как спам).
  • Учишься скаупить цели и не лезть туда, где тебя забанят на первом же запросе.
  • Стартуешь с low-hanging fruit: ищешь баги в мелких проектах или публичных программах с низким приоритетом.
Первые выплаты могут быть как дошик — 50–500$, но это только начало. Главное — не сдаваться, когда кажется, что все баги уже съели кибермонстры с 10-летним опытом.

Фундамент знаний Тут без хардкора не получится:
  1. Сети: Базовый TCP/IP, HTTP-статусы (200-й — наш любовь, 403-й — боль).
  2. Веб: HTML/CSS/JS на уровне «прочитать чужой код», бэкенд (хоть немного PHP/Python), SQL-инъекции как таблицу умножения.
  3. Linux: Умение не сломать систему за 5 минут в терминале.
  4. Инструменты: Burp Suite — твой новый лучший друг, nmap — второй друг, Wireshark — третий (пока не перегрузишь мозг).
Старт для практики:
  • Набивай руку на HackerLab (там как детский сад, но с пушками).
  • Ещё круто на Hack The Box — тут уже придется гуглить каждый шаг, и это ок.
  • Зависай в PortSwigger Academy — лучшая прокачка для вебщика.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!