Security QA, он же пентестер — это специалист, который атакует системы по согласованию с владельцем, чтобы найти и закрыть уязвимости до того, как ими воспользуются злоумышленники. В отличие от security-админа, который защищает периметр, пентестер работает с позиции нападающего и думает, как взломщик. Зарплатная вилка в 2026 году в России — от 130 до 450 тысяч рублей, плюс отдельный заработок на bug bounty платформах. Чем занимается Security QA Базовая активность — проведение тестов на проникновение по конкретному скоупу. Заказчик описывает: «вот веб-приложение по такому-то URL, вот учётные записи разных ролей, копайте две недели». Вы методично проходите чеклист OWASP Testing Guide: проверяете аутентификацию, авторизацию, инъекции SQL и NoSQL, XSS, CSRF, SSRF, IDOR, файловые загрузки, управление сессиями. Каждую найденную уязвимость документируете в отчёте: что нашли, как воспроизвести, какой импакт, как исправить. Качественный отчёт — половина работы пентестера: его читает не только разработчик, но и риск-менеджер, и иногда регулятор, поэтому нужен баланс технической точности и понятного бизнес-импакта. Помимо веба идут другие виды pentest. Network pentest — сканирование внешнего и внутреннего периметра, поиск уязвимых сервисов, эксплуатация misconfigurations. Mobile pentest — реверс приложений, проверка хранения данных на устройстве, перехват трафика. Wireless — атаки на корпоративный Wi-Fi (WPA2-Enterprise, EAP). Social engineering — фишинг и физический pentest, когда тестируется человеческий фактор и пропуска в офис. Каждый тип требует своего инструментария и часто отдельной экспертизы, поэтому опытный пентестер выбирает специализацию. В крупных компаниях есть постоянная red team — внутренний пентестер, имитирующий целенаправленную атаку. Цель — не найти максимум багов, а пройти от внешнего периметра до критичных систем (домен-контроллер, базы клиентов) и проверить, заметит ли blue team. Такие операции длятся 1–3 месяца и максимально приближены к реальной APT-атаке. Red team operator — это уже не просто пентестер, а специалист с пониманием тактик MITRE ATT&CK, навыками stealth-операций и опытом работы с командно-контрольной инфраструктурой (Cobalt Strike, Sliver, Mythic). Параллельно — work с разработчиками. После сдачи отчёта вы консультируете команду: как именно исправить SSRF в конкретном микросервисе, какие санитайзеры применить, нужно ли менять архитектуру. На зрелых проектах пентестер участвует в threat modeling до того, как фича попадает в разработку — это дешевле, чем находить уязвимости после релиза. Этот сдвиг security влево (shift-left security) стал стандартом в IT-индустрии и серьёзно изменил роль пентестера: теперь это не только наёмный «взломщик на час», но и постоянный консультант команды по безопасности. Hard skills и инструменты Стек пентестера в 2026 году: OWASP Top-10 и OWASP Testing Guide — обязательная база. Знание всех типовых классов веб-уязвимостей наизусть, понимание защитных механизмов. Дополнительно — OWASP API Security Top-10 для тестирования REST/GraphQL-API Burp Suite Pro — основной инструмент для веб-pentest. Перехват и модификация HTTP-трафика, повторение запросов в Repeater, фаззинг в Intruder, расширения через BApp Store. Кастомные расширения на Java или Python для специфических задач OWASP ZAP — бесплатная альтернатива Burp, особенно для CI-интеграции и автоматизированных сканирований. Используется в DevSecOps-пайплайнах для baseline-проверок Metasploit Framework — фреймворк эксплоитов и payload'ов для pentest сетевой инфраструктуры. Знание основных модулей, написание собственных простых эксплоитов на Ruby. Понимание meterpreter и пост-эксплуатации Nmap, Nessus, OpenVAS — сканеры портов и уязвимостей. Уметь интерпретировать результаты, отделять ложные срабатывания. NSE-скрипты Nmap для расширения возможностей сканирования Скриптинг — Python обязателен (sqlmap, requests, scapy), Bash для автоматизации, базовый опыт с Go и PowerShell для редактирования эксплоитов под конкретную ситуацию. Без Python в современном pentest никуда Понимание криптографии — атаки на JWT, padding oracle, weak ciphers, неправильное использование AES, проблемы с ECB-mode. Без глубокой математики, но с пониманием типовых ошибок реализации. Понимание PKI, TLS, асимметричной криптографии Active Directory pentesting — Kerberoasting, Pass-the-Hash, AS-REP Roasting, BloodHound для построения attack paths, Mimikatz для извлечения credentials. Самый востребованный навык в корпоративных pentest, потому что 80% компаний используют AD Reverse engineering базового уровня — Ghidra, IDA Pro Free, для разбора простых бинарников и mobile-приложений. Не уровень malware-аналитика, но достаточный для разбора несложных compiled payload'ов Карьерный путь: junior → middle → senior Junior pentester заходит в профессию через смежную область — admin или developer с уклоном в security, либо CTF-игроки и победители студенческих соревнований. Зарплата в Москве — 100–150 тысяч рублей, в регионах — 70–110 тысяч. Задачи: участие в pentest под наблюдением senior, сканирование, верификация автоматизированных находок, написание отчётов по шаблону. Через 1–2 года появляется первая международная сертификация — обычно eJPT или CompTIA PenTest+. На junior-стадии главное — много практиковаться на учебных платформах (HTB, THM) и участвовать в реальных проектах под руководством, чтобы быстро понять отличие учебных лабораторий от продакшена. Middle — 2–4 года, плюс сертификат уровня OSCP. Зарплата в Москве — 200–300 тысяч, в регионах — 130–200 тысяч. Вы ведёте pentest самостоятельно от kickoff до отчёта, владеете несколькими типами тестов (web + network + mobile), пишете кастомные эксплоиты под конкретную ситуацию. На этой стадии многие пробуют bug bounty — публичные программы Google, Yandex, VK, Сбер платят от 50 до 500 тысяч рублей за критичную уязвимость. Параллельная активность — выступления на CTF, разработка writeup'ов, ведение блога. Это формирует профессиональную репутацию, которая через 2–3 года конвертируется в премию к зарплате и приглашения в private bug bounty. Senior — 4–7+ лет, два-три серьёзных сертификата (OSCP + OSWE или CISSP), портфолио из 50+ pentest. Зарплата в Москве — 350–450 тысяч, в банках первой десятки и нефтегазе — до 550 тысяч. Senior руководит pentest-командой, общается с заказчиком на уровне C-level, принимает архитектурные решения по methodology, разрабатывает внутренние стандарты. Часть senior пентестеров уходит в research — поиск 0day и публикация на конференциях вроде Defcon, Black Hat, OFFZONE, Positive Hack Days. Известные исследователи зарабатывают на bug bounty десятки тысяч долларов в месяц и параллельно работают консультантами с почасовой ставкой 150–300 USD. Дальше — либо консалтинг с почасовой ставкой 8000–15000 рублей в час, либо роль CISO в крупной компании, либо запуск собственной pentest-фирмы. В bug bounty топ-1% хантеров зарабатывает на одной платформе по 200–500 тысяч долларов в год, но это единичные случаи и ненормированный график. Альтернативный путь — exploit development в специализированных компаниях (Zerodium, Crowdfense), где платят за 0day-эксплоиты до миллионов долларов, но это серая зона по этике и легальности. Сколько зарабатывает Security QA в 2026 году В Москве junior получает 100–150 тысяч рублей gross, middle — 200–300 тысяч, senior — 350–450 тысяч. Lead-позиции в банках первой десятки и крупном нефтегазе — 500–550 тысяч плюс годовой бонус 20–30% и опционы. Самый высокий рынок — банки, госкорпорации с критической информационной инфраструктурой (КИИ), крупные IT-вендоры и pentest-консалтинги типа Positive Technologies или Лаборатории Касперского. У последних есть специфика: меньшая зарплата на старте, но быстрый рост и возможность работать на публичные исследования и конференции. Санкт-Петербург отстаёт примерно на 15–20%: middle 170–240 тысяч, senior 280–360 тысяч. В Екатеринбурге, Новосибирске — middle 130–200 тысяч, senior 200–280 тысяч. В небольших регионах локального спроса почти нет, пентестеры работают удалённо на московские компании или зарубежных клиентов. Региональные pentest-консалтинги встречаются только в Казани, Краснодаре и нескольких других городах с активной IT-сценой. Bug bounty — отдельный заработок, который суммируется с основной зарплатой. На российских платформах (BI.ZONE Bug Bounty, Standoff 365) middle при паре часов в неделю стабильно делает 50–150 тысяч рублей в месяц. Глобальные платформы HackerOne и Bugcrowd платят в долларах: средний охотник зарабатывает 500–3000 USD в месяц, топовый — кратно больше. Главное правило bug bounty — сначала тщательно прочитать программу: что в скоупе, что вне, какие классы уязвимостей принимают, какова таблица выплат. Дублирующая отправка уже найденного бага не оплачивается. Сертификации сильно влияют на ставку. OSCP — обязательный билет на middle и выше, его наличие добавляет 50–80 тысяч к рыночной ставке. OSWE (web), OSEP (advanced), CRTO для red team — каждая добавляет ещё 20–40 тысяч. CISSP больше для управленческих ролей, но в крупных корпорациях — мастхэв на руководящих позициях. CEH считается базовым и серьёзного плюса не даёт. Подготовка к OSCP занимает 4–8 месяцев интенсивного труда и стоит около 1500–2000 USD за подписку и экзамен — это серьёзная инвестиция, но окупается многократно. Где учиться Базовое образование — направления подготовки 10.03.01 «Информационная безопасность» или 10.05.05 «Безопасность информационных технологий». В отличие от админа ИБ, для пентестера академический диплом — приятный бонус, но не критичен. На рынок чаще приходят через CTF (Capture the Flag) — соревнования по информационной безопасности, где задачи приближены к реальным атакам. Регулярные участники крупных CTF-команд получают приглашения на собеседования напрямую от работодателей, минуя HR-фильтры. Профильные сертификации — главный признак уровня. Стартовая планка — eJPT (eLearnSecurity Junior Penetration Tester), относительно дешёвая и практическая. Следующий шаг — OSCP от OffSec, многомесячная программа с экзаменом, который длится 24 часа в условиях реального pentest. Дальше идут OSEP, OSWE, OSED — продвинутые экзамены по конкретным направлениям. CISSP полезен для управленческой ветки. CEH часто покупают, потому что её требуют HR-фильтры в крупных корпорациях, но реальной пользы для практической работы она даёт мало. Бесплатные ресурсы — TryHackMe (структурированные обучающие модули), HackTheBox (более сложные сценарии, ближе к OSCP), PortSwigger Web Security Academy (от создателей Burp Suite, лучший бесплатный курс по веб-уязвимостям). Книги — «The Web Application Hacker's Handbook», «Penetration Testing» Джорджии Вайдман, «Red Team Field Manual». Подкасты — Darknet Diaries для понимания индустрии и реальных кейсов. Конференции — Positive Hack Days и OFFZONE для российского контекста, DEF CON и Black Hat для мирового, многие выступления выкладываются в открытый доступ. Реалистичный план входа в профессию: год на сетевые основы и Linux, полгода на TryHackMe и базовый веб, потом подготовка и сдача OSCP за 4–6 месяцев. После OSCP — junior-вакансия в pentest-консалтинге или внутренней security-команде продуктовой компании. Параллельно — участие в CTF командах хотя бы как стажёр, регулярная практика на bug bounty платформах с маленьких программ. Главное — не пытаться сразу прыгать в крупные таргеты на HackerOne, а наработать опыт на публичных vulnerability disclosure программах и небольших стартапах. Похожие специализации Близкие роли: red team operator работает над долгими целенаправленными атаками с эмуляцией APT-групп. Application Security Engineer встроен в команду разработки и помогает писать безопасный код, проводит code review. Security researcher ищет 0day-уязвимости в продуктах и публикует исследования. Bug bounty hunter — фрилансер на платформах вроде HackerOne, выбирает программы и получает деньги только за подтверждённые находки. Threat intelligence analyst отслеживает активность злоумышленников и пишет аналитические отчёты — больше с OSINT, меньше с эксплуатацией.