Решён
Как стать хакером? С чего начать в 2026?

Геннадий Степанов Кибербезопасность
13.4k
8

Мне 17, хочу стать хакером. Не в смысле ломать чужие аккаунты, а заниматься информационной безопасностью, пентестом, искать уязвимости. Видел что за баг баунти платят хорошие деньги.

Сейчас знаю Python на базовом уровне (писал калькулятор и парсер), немного понимаю как работает Linux (поставил Ubuntu вторую систему). В сетях вообще ноль.

С чего начать? Какие языки учить? Есть ли смысл идти на курсы или лучше самому? Какой путь реалистичный чтобы через 2-3 года уже работать в этой сфере?

Bug BountyИнформационная безопасностьКарьераКибербезопасностьПентестХакер

8 ответов

Лучшие Новые Старые
Решение
120
Эксперт • 1 ответ

Работаю в ИБ 8 лет, сейчас тимлид пентест-команды. Распишу тебе реалистичный роадмап.

Фундамент (6-12 месяцев):

  1. Сети. Без этого никуда. Протокол TCP/IP, DNS, HTTP/HTTPS, модель OSI. Не нужно зубрить RFC, но ты должен понимать что происходит когда вбиваешь адрес в браузер. Книга: "Компьютерные сети" Таненбаума (хотя бы первые 6 глав) или курс на YouTube от NetworkChuck
  2. Linux на уровне уверенного пользователя. Файловая система, права доступа, процессы, systemd, iptables. Поставь Kali Linux и живи в нем. Каждый день делай что то новое в терминале
  3. Python углуби. Сокеты, requests, scapy (для сетевых пакетов). Напиши свой сканер портов, свой брутфорсер для учебного сервера

Практика (6-12 месяцев параллельно):

  • TryHackMe - начни отсюда. Там есть путь "Complete Beginner" и "Jr Penetration Tester". Все в браузере, ничего настраивать не надо
  • HackTheBox - следующий уровень. Решай машины, начиная с Easy. Если застрял, читай чужие write-up (они появляются после ротации машины)
  • PortSwigger Web Security Academy - бесплатные лабы по веб-уязвимостям (XSS, SQL injection, SSRF). Обязательно

Что учить из инструментов:

Burp Suite (перехват HTTP), Nmap (сканирование), Wireshark (анализ трафика), Metasploit (эксплуатация). Не пытайся освоить все сразу, бери по одному.

Курсы за деньги:

Единственный курс который реально стоит денег на старте - это OSCP (Offensive Security Certified Professional). Но он сложный и дорогой (~$1600). Бери его через 1.5-2 года когда будешь готов. До этого хватит бесплатного.

Что НЕ надо делать:

  • Покупать курсы за 100к рублей на русскоязычных платформах. 90% из них пересказ бесплатных материалов
  • Пытаться "ломать" реальные сайты без разрешения. Статья 272 УК РФ, до 7 лет. Bug bounty программы - единственный легальный способ
  • Учить Си/ассемблер прямо сейчас. Это для реверс-инжиниринга, до которого тебе пока далеко

Через 2-3 года при 2-3 часах в день сможешь претендовать на джуна в ИБ-компанию или начать зарабатывать на баг баунти.

Гость

Про OSCP согласен на все 100. Но можно сначала eJPT от eLearnSecurity взять, он попроще и дешевле, хорошая ступенька перед OSCP

Гость

Это лучший ответ что я видел на эту тему. Сохранил себе, буду идти по плану. Спасибо огромное!

31
Участник • 1 ответ

Если ты задаешь такие вопросы на форуме, то хакер из тебя пока никакой. Настоящий хакер сам находит ответы. Это не профессия которой "учат по роадмапу".

Ладно, не обижайся. Совет один: разберись как работает TCP. Не по видео, а руками. Запусти Wireshark, открой сайт, посмотри каждый пакет. Пойми трехстороннее рукопожатие. Когда тебя это затянет настолько что забудешь поесть, значит ты на правильном пути.

18
Эксперт • 1 ответ

TryHackMe. Регайся и начинай прямо сейчас. Бесплатного контента хватит на полгода. Потом подписка 10 баксов в месяц, полностью окупается.

https://tryhackme.com

43
Участник • 5 ответов

Слушай, тебе 17, ты уже знаешь питон и линукс стоит. Ты уже впереди 90% людей которые "хотят стать хакерами". Они обычно приходят с вопросом "как взломать вк одноклассника" и нулевыми знаниями.

Из себя добавлю: учи английский. Прям серьезно. 95% годного материала по ИБ на английском. Русскоязычных ресурсов катастрофически мало, а те что есть - отстают на годы. Документация, write-up, конференции (DEF CON, Black Hat), подкасты - все на английском. Без него потолок будет очень низкий.

21
Участник • 1 ответ

Все говорят про пентест, но есть и другие направления в ИБ где платят не меньше. SOC-аналитик (мониторинг инцидентов), форензика (расследование взломов), AppSec (безопасность приложений). Пентест конечно самый романтичный, но конкуренция бешеная.

Если хочешь быстрее начать зарабатывать, иди в SOC. Туда берут джунов с минимальным опытом, обучают на месте. Через пару лет можно перейти в пентест уже с пониманием как работает защита изнутри.

15
Эксперт • 2 ответа

Скачай Kali, открой терминал, набери nmap -sV 127.0.0.1 и посмотри что он выдаст. Потом поставь себе DVWA (Damn Vulnerable Web Application) и попробуй найти в нем SQL-инъекцию.

sudo apt update && sudo apt install dvwa

Когда сломаешь все уровни сложности в DVWA, переходи на HackTheBox.

37
Участник • 3 ответа

Я в твоем возрасте тоже хотел быть хакером) Сейчас мне 28, работаю ИБ-инженером в банке. Расскажу как было у меня.

Начал с CTF (Capture The Flag) соревнований. Это такие онлайн-хакатоны где нужно решать задачки по взлому. Собрали команду из трех одноклассников, играли на CTFtime каждые выходные. Первые полгода занимали последние места, потом начали что то понимать.

Потом поступил на ИБ в универ. Скажу честно, 80% того что преподавали - бесполезный мусор (теория криптографии 70-х годов, документооборот по ГОСТу). Но диплом нужен чтобы устроиться в нормальную компанию, без него берут неохотно.

Параллельно прошел OSCP на третьем курсе. Это было самое сложное что я делал в жизни. 24 часа экзамен, я уснул за компом в 4 утра на пятой машине. Но сдал.

После универа устроился джуном за 60к. Через три года зарплата выросла втрое. В ИБ сейчас дикий дефицит кадров, так что если реально будешь учиться, без работы не останешься.

Написать ответ

Визуальный редактор (WYSIWYG)
Премодерация гостей

Вы отвечаете как гость. Ваш ответ будет скрыт до проверки модератором. Чтобы ответ появился сразу и вы получали репутацию — войдите в аккаунт.

Или войдите в систему
Будьте вежливы и соблюдайте правила платформы.