С чего реально начать в пентесте в 2026? TryHackMe, HTB или сразу сертификаты?

[zhenya_docker]

Сижу джуном бэкендером, хочу свернуть в пентест. Голова кругом: TryHackMe, HackTheBox, PortSwigger Academy, OSCP... С чего начать-то, чтобы не распыляться? Бюджет на обучение ограничен.

[liza_go]

PortSwigger Web Security Academy бесплатный и до сих пор лучший вход в веб-уязвимости. Пройди его полностью, потом TryHackMe для общей базы по сетям и линуксу. HTB бери уже когда основы устаканились, там тебя за руку не водят.

[elena_msk]

Не гонись за OSCP сразу. Это 1600+ баксов и без базы ты там просто сольёшь exam. Сначала набей руку на ретайред-машинах HTB, посмотри ipsec-овские райтапы на ютубе.

[svetlana_js]

А eJPT как промежуточный вариант? Слышал что дешевле и проще для старта.

[mark9640]

eJPT норм как первый серт чисто для резюме и мотивации, но рынок на него почти не смотрит. Работодатели хотят OSCP либо живой опыт/баг баунти. Я бы вложился в практику, а не в бумажки на старте.

[german7915]

Добавлю с другой стороны баррикад: даже если идёшь в наступление, разберись как работает защита. SOC, логи, EDR. Понимание что тебя палит сильно меняет подход к атаке.

[fedor_tcp]

+1 к Ольге. Лучшие редтимеры которых видел отлично шарят в blue. Знание как детектится Mimikatz или подозрительный PowerShell экономит кучу времени на реальном проекте.

[omegadata6306]

Спасибо всем, план понятен: PortSwigger -> THM -> HTB retired -> баг баунти, серты потом. Погнали.

[roman_sigma]

Перекатился из бэкенда в пентест два года назад. Конкретная последовательность которая сработала: сначала PortSwigger Web Academy целиком бесплатно — там 60+ лабораторий по OWASP-уязвимостям с практикой прямо в браузере, это база без которой HTB просто не пойдёт. Потом TryHackMe путь 'Jr Penetration Tester' — структурированнее чем HTB для новичка. HTB — когда уже понимаешь что делаешь, иначе будешь тупо смотреть на Nmap-вывод и не знать что делать дальше.

[ivan1999]

По сертификатам: OSCP стоит ~$1500 и требует минимум полгода подготовки. Есть более дешёвая точка входа — eJPT от INE, стоит $200 и реально достижима за 2-3 месяца с нуля. На рынке труда OSCP всё ещё открывает двери, eJPT — показывает что ты не просто читал, а трогал руками. Если бюджет ограничен, сначала eJPT, потом копи на OSCP. CEH не берите, это бумажка для HR которую пентестеры не уважают.