Оглавление
1. Введение: почему большинство курсов по хакингу — это ловушка2. Как работает схема: анатомия опасного курса
3. Три признака, что курс установит вам шпионское ПО
4. Что такое безопасная учебная среда и зачем она нужна
5. Ресурс 1 — TryHackMe: хакинг прямо в браузере без установки ничего
6. Ресурс 2 — Hack The Box: реальные машины для серьёзной практики
7. Ресурс 3 — PicoCTF: CTF-соревнования с нуля, полностью бесплатно
8. Ресурс 4 — PortSwigger Web Security Academy: веб-уязвимости без рисков
9. Как настроить безопасную локальную среду: Kali в VM за 20 мин
10. Карьера в кибербезопасности: сертификаты, деньги, реальный путь
11. Bug Bounty как практика: первые шаги без нарушения закона
12. Юридическая граница: что легально, что нет, и где проходит черта
13. FAQ: 20 горячих вопросов
14. Чек-лист «30 мин до безопасного старта в хакинге»
15. Заключение: что делать дальше
1. Введение: почему большинство курсов по хакингу — это ловушка
Запрос «курс по хакингу» в Telegram выдаёт сотни каналов, ботов и PDF-архивов. Большинство из них объединяет одно: чтобы «научиться», вам предлагают скачать и запустить что-то на своём компьютере. Инструмент, утилиту, «кастомный Kali», архив с «лабораторией».
Именно здесь заканчивается обучение и начинается атака на вас.
| Тип «курса» | Реальная угроза | Частота встречаемости |
|---|---|---|
| «Кастомный дистрибутив» для скачки | RAT, кейлоггер, майнер в образе | ★★★★★ |
| Архив с «инструментами хакера» | Malware под видом Metasploit, Nmap | ★★★★★ |
| Telegram-бот «пробив по номеру» | Фишинг данных, плата за воздух | ★★★★☆ |
| Платный курс с «эксклюзивным ПО» | Spyware в инсталляторе | ★★★☆☆ |
| YouTube + «ссылка в описании» | Вредоносный архив под видом инструмента | ★★★☆☆ |
| Пиратские копии Udemy-курсов | Встроенный стилер в PDF/exe | ★★★★☆ |
> 🔴 Главный парадокс: человек, который хочет научиться защищаться от хакеров, скачивает файл от незнакомца из интернета. Это именно то, от чего он хочет защититься.
Эта статья не про запрет на обучение хакингу. Это конкретный разбор: как выглядит ловушка изнутри, как её распознать, и четыре ресурса, которые дадут реальные навыки — без установки ничего опасного на ваш основной компьютер.
2. Как работает схема: анатомия опасного курса
Мошеннический «курс по хакингу» — такая же воронка, как фейковая вакансия. Только здесь вас ловят не на деньги, а на компьютер.
Этап 1 — Привлечение
Пост в тематическом чате: «Полный курс по этичному хакингу — бесплатно». Красивая обложка, список тем (SQLi, XSS, Metasploit, Burp Suite), отзывы от ботов. Всё выглядит легитимно.
Этап 2 — Создание доверия
Первые материалы — реальные. PDF с теорией, ссылки на Kali Linux, YouTube-видео. Мошенник вложил в вас 20 минут «честного» контента. Теперь вы доверяете источнику.
Этап 3 — Зацепка
«Для практики нужны инструменты. Скачайте нашу лабораторию / кастомный Kali / набор скриптов». Архив весит 2–15 ГБ — достаточно, чтобы казаться серьёзным. Внутри — легитимные инструменты плюс payload, запускающийся при установке.
Этап 4 — Заражение
Вы запускаете установщик. Легитимный Kali Linux разворачивается как обещано. Параллельно — в фоне устанавливается: кейлоггер, стилер паролей из браузера, RAT (Remote Access Tool) для удалённого управления вашим ПК, или майнер криптовалюты.
Этап 5 — Долгосрочная эксплуатация
В отличие от фейковой вакансии, заражённый компьютер эксплуатируется месяцами. Похищаются: сохранённые пароли, cookie сессий, данные криптокошельков, файлы с рабочего стола, история браузера.
text
Пост → Доверие → «Инструменты» → Заражение → Долгая эксплуатация
↑ ↑
Выглядит как курс Это была атака на вас
> 📌 Ирония: жертва, которая хотела научиться атаковать других, сама стала жертвой атаки — используя своё же любопытство как вектор.
3. Три признака, что курс установит вам шпионское ПО
Признак 1 — «Скачайте наш кастомный дистрибутив»
Официальный Kali Linux скачивается только с `kali.org`. Parrot OS — только с `parrotsec.org`. Любой «кастомный», «прокачанный», «всё включено» образ из Telegram, Google Drive или Mega — потенциальный вектор заражения.
Никто не тратит недели на сборку «улучшенного Kali» ради бесплатного распространения незнакомцам. Там что-то добавлено — и не в вашу пользу.
Признак 2 — Инструменты в архиве .rar/.zip без исходного кода
Легитимные хакерские инструменты — open source. Nmap, Metasploit, Burp Suite, Wireshark — у всех есть официальные сайты и GitHub-репозитории с кодом. Если вам предлагают скомпилированный бинарник без исходников — проверить его невозможно.
Правило: если нет исходного кода на GitHub с историей коммитов — не запускать.
Признак 3 — Обещание «реального взлома» конкретных целей
«Научим взламывать Instagram/ВКонтакте/WiFi соседа» — это либо мошенничество (ничему не научат), либо приглашение к уголовному преступлению (ст. 272 УК РФ). Реальное обучение хакингу всегда происходит на специально подготовленных целях, а не на живых системах.
| Красный флаг | Что за этим стоит |
|---|---|
| «Кастомный Kali» для скачки | Malware в образе |
| Архив с инструментами без исходников | Стилер / RAT / майнер |
| Взлом реальных аккаунтов как «практика» | Уголовная ответственность + мошенничество |
| «Платный курс» через крипту анонимно | Нет возврата, нет ответственности |
| Telegram-бот «проверка уязвимостей» | Фишинг ваших данных |
4. Что такое безопасная учебная среда и зачем она нужна
Безопасная учебная среда — это изолированное пространство, где вы атакуете системы, которые специально созданы для атак. Не реальные сайты. Не компьютеры соседей. Специально подготовленные «жертвы» с известными уязвимостями.
Почему это важно с трёх сторон:
Юридически: атака на любую систему без явного разрешения владельца — преступление в большинстве юрисдикций. Учебные платформы дают это разрешение явно и в письменном виде.
Технически: реальные системы имеют непредсказуемое поведение. Учебные — предсказуемое. Вы учитесь понимать уязвимость, а не случайно ломаете что-то важное.
Практически: CTF-задачи и учебные машины построены так, чтобы давать обратную связь. Вы не просто «что-то взломали» — вы понимаете почему это сработало.
Три формата безопасной среды:
| Формат | Где запускается | Риск для вашего ПК | Примеры |
|---|---|---|---|
| Браузерная платформа | В облаке, у провайдера | Нулевой | TryHackMe, PicoCTF |
| Виртуальная машина | На вашем ПК, изолировано | Минимальный | Kali в VirtualBox |
| Локальная лаборатория | На вашем ПК, изолировано | Минимальный | VulnHub, DVWA |
Четыре ресурса в этой статье — первая категория и вторая. Ничего не устанавливается на основную систему без вашего осознанного контроля.
5. Ресурс 1 — TryHackMe: хакинг прямо в браузере без установки ничего
Что это:
TryHackMe — обучающая платформа по кибербезопасности с браузерным доступом к виртуальным машинам. Вы открываете Chrome, нажимаете «Start Machine» — и через 2 минуты у вас есть уязвимый Linux-сервер, который можно атаковать прямо из браузера.
Как это работает технически:
text
Ваш браузер → HTTPS → TryHackMe Cloud → Изолированная VM (цель)
↑
Kali Linux в браузере (AttackBox)
Никакого VPN для большинства задач. Никакой установки Kali. Kali Linux запускается прямо в браузере как веб-приложение — с терминалом, инструментами, GUI.
Что внутри:
Структура обучения — «пути» (Learning Paths):
- `Pre-Security` — основы сетей, Linux, веба (бесплатно)
- `Introduction to Cybersecurity` — первое знакомство с атаками (бесплатно)
- `Jr Penetration Tester` — полный путь джуна-пентестера (частично платно)
- `SOC Level 1` — защита и мониторинг (частично платно)
- `Red Teaming` — продвинутые атаки (платно)
Пример первой комнаты — «OHsint»:
text
Задача: по одной фотографии найти имя человека, город проживания,
email, аватарку, пароль от WiFi и настоящее местоположение.
Инструменты: только браузер + открытые источники.
Уровень: новичок.
Это реальный OSINT — и вы делаете его в безопасной среде на специально созданном «персонаже».
Стоимость:
| Уровень | Цена | Что доступно |
|---|---|---|
| Free | 0 ₽ | ~300+ комнат, базовые пути, 1 ч AttackBox/день |
| Premium | ~$14/мес | Все комнаты, безлимитный AttackBox, сертификаты |
С чего начать:
1
. Зарегистрируйтесь: tryhackme.com (email, без верификации телефона)
2. Пройдите: "Pre-Security" path → бесплатно, 40 часов
3. Затем: "Introduction to Cybersecurity" → бесплатно, 24 часа
4. Первая реальная практика: комнаты "Linux Fundamentals 1-3"
> 📌 TryHackMe — лучший старт в 2026 году для абсолютного новичка. Нулевой технический порог, нулевой риск для вашего компьютера, геймифицированная система с очками и рейтингами.
Кому подходит: полные новички, школьники старших классов, люди без Linux-опыта
6. Ресурс 2 — Hack The Box: реальные машины для серьёзной практики
Что это:
Hack The Box (HTB) — платформа для практикующих специалистов по кибербезопасности. В отличие от TryHackMe, здесь нет пошаговых подсказок. Есть машина с флагом внутри — ваша задача найти путь самостоятельно.
Уровень сложности:
HTB начинается там, где TryHackMe заканчивается. Первая машина уровня «Easy» на HTB соответствует задачам уровня «Medium–Hard» на TryHackMe. Это не недостаток — это реалистичная симуляция настоящего пентеста.
Форматы на платформе:
HTB Academy — структурированное обучение (ближе к TryHackMe):
text
Модули с теорией + практикой на изолированных машинах
Темы: Active Directory, Web Exploitation, Binary Exploitation, Forensics
Стоимость: бесплатно (базовые модули) / $14–$22/мес (все модули)
HTB Labs — «дикий» режим, только практика:
text
Активные машины: взломать → сдать флаг → получить очки
Retired машины: есть официальные writeups (после решения)
Стоимость: бесплатно (2 активные машины) / $14/мес (все машины)
HTB Challenges — задачи по отдельным темам:
text
Категории: Crypto, Forensics, Reversing, Web, Pwn, OSINT
Всегда доступны, без VPN, в браузере
Стоимость: бесплатно
Как подключиться без риска (через браузер):
htb
→ Pwnbox — Kali Linux прямо в браузере
Работает аналогично TryHackMe AttackBox
Нет VPN, нет установки ничего
Бесплатно: 2 часа/день на Free-аккаунте
Путь прогрессии на HTB:
text
[TryHackMe — основы] → [HTB Academy — структура] → [HTB Labs Easy]
→ [HTB Labs Medium] → [OSCP/CPTS сертификация] → [реальная работа]
Метрика прогресса — рейтинг и звания:
| Звание | Что нужно |
|---|---|
| Noob | Зарегистрироваться |
| Script Kiddie | Сдать первый флаг |
| Hacker | 20 машин + challenge-очки |
| Pro Hacker | 100+ машин, стабильный скор |
| Elite Hacker | Топ-250 глобального рейтинга |
| Guru / Omniscient | Топ-10, реально единицы |
> 🔴 Честное предупреждение: начинать HTB Labs без подготовки на TryHackMe — путь к разочарованию. Проведите 1–2 месяца на TryHackMe сначала. HTB вознаградит подготовленного.
Кому подходит: разработчикам с базой Linux, людям после TryHackMe, тем, кто готовится к OSCP/CPTS
7. Ресурс 3 — PicoCTF: CTF-соревнования с нуля, полностью бесплатно
Что такое CTF:
Capture The Flag — соревнование по кибербезопасности, где участники решают задачи и получают «флаги» (строки вида `picoCTF{это_флаг_задачи}`). Каждый флаг = очки. Задачи покрывают все области: криптографию, реверс-инжиниринг, веб, форензику, стеганографию.
CTF — это единственный способ законно практиковать атакующие техники в соревновательном формате. Именно с CTF начинали карьеру большинство топовых специалистов по безопасности.
Почему PicoCTF, а не другие:
picoCTF создан Carnegie Mellon University — одним из лучших технических университетов мира. Целевая аудитория — школьники и студенты без опыта. Задачи объяснены пошагово, есть обучающий контент рядом с каждым заданием.
Что доступно:
picoctf
.org → зарегистрироваться (бесплатно, без верификации)
→ Practice Arena — постоянно доступные задачи по категориям
→ Ежегодный CTF (март) — соревнование с призами для школьников
→ picoGym — архив всех прошлых задач
Категории задач и что они учат:
| Категория | Что изучаете | Пример задачи |
|---|---|---|
| General Skills | Linux, командная строка, базовые инструменты | Найти флаг в файле через grep |
| Cryptography | Шифры, RSA, хеширование, XOR | Расшифровать Caesar cipher |
| Web Exploitation | SQL-инъекции, XSS, IDOR, Cookie-манипуляции | Обойти авторизацию через SQL |
| Reverse Engineering | Дизассемблирование, анализ бинарников | Найти пароль в скомпилированной программе |
| Forensics | Анализ файлов, сетевых дампов, стеганография | Извлечь данные из PNG |
| Binary Exploitation | Buffer overflow, ROP-цепочки | Получить shell через переполнение |
Первые три задачи для старта (General Skills):
1
. "Obedient Cat" — скачать файл, прочитать содержимое → флаг внутри
2. "Python Wrangling" — запустить Python-скрипт с паролем
3. "Wave a flag" — запустить бинарник с правильным флагом
Всё это делается в браузере или через простой Linux-терминал — без риска.
Почему CTF лучше видеокурса:
| Видеокурс | CTF (PicoCTF) |
|---|---|
| Смотришь, как кто-то взламывает | Взламываешь сам |
| Пассивное запоминание | Активное решение проблем |
| Прогресс не измерим | Флаги = конкретный счёт |
| Контекст оторван от практики | Задача → инструмент → решение |
| Легко бросить | Соревновательная механика удерживает |
> 📌 PicoCTF — лучший способ понять, нравится ли вам кибербезопасность вообще. Если первые 10 задач кажутся скучными — возможно, это не ваше направление. Если затягивают — вы нашли своё.
Кому подходит: абсолютным новичкам, школьникам, студентам, тем, кто хочет понять CTF без страха «не справлюсь»
8. Ресурс 4 — PortSwigger Web Security Academy: веб-уязвимости без рисков
Что это:
PortSwigger — компания, создавшая Burp Suite (главный инструмент веб-пентестеров в мире). Их Web Security Academy — бесплатный образовательный ресурс, покрывающий все основные классы веб-уязвимостей через теорию + интерактивные лабораторные работы.
Почему это лучший ресурс по веб-безопасности:
Большинство курсов объясняют SQL-инъекцию теоретически. PortSwigger даёт вам живой уязвимый веб-сайт прямо в браузере и говорит: «Вот цель. Эксплуатируй». Через 15 минут вы понимаете SQLi не из описания, а из личного опыта взлома.
Что охватывает платформа:
| Тема | Количество лаб | Уровень |
|---|---|---|
| SQL Injection | 18 лаб | Apprentice–Expert |
| Cross-Site Scripting (XSS) | 30 лаб | Apprentice–Expert |
| CSRF | 12 лаб | Apprentice–Expert |
| Broken Access Control | 13 лаб | Apprentice–Expert |
| Authentication | 14 лаб | Apprentice–Expert |
| Business Logic Vulnerabilities | 11 лаб | Apprentice–Expert |
| Server-Side Request Forgery | 7 лаб | Apprentice–Expert |
| XXE Injection | 9 лаб | Apprentice–Expert |
| Insecure Deserialization | 10 лаб | Practitioner–Expert |
| Web Cache Poisoning | 13 лаб | Practitioner–Expert |
| HTTP Request Smuggling | 15 лаб | Practitioner–Expert |
| OAuth Authentication | 6 лаб | Practitioner–Expert |
Итого: 200+ лабораторных работ, полностью бесплатно.
Как устроена лаборатория:
1
. Читаете теорию об уязвимости (15–30 мин)
2. Изучаете примеры эксплуатации
3. Нажимаете «Access the lab» — открывается уязвимый сайт
4. Формулировка задачи: «Войдите как administrator» или «Удалите пользователя Carlos»
5. Взламываете → получаете подтверждение «Congratulations, you solved the lab»
Весь процесс — в браузере. Burp Suite Community (бесплатный) устанавливается опционально для продвинутых лаб.
Первые лабораторные для старта:
sql
Injection → "SQL injection vulnerability in WHERE clause allowing retrieval of hidden data"
→ Задача: получить все продукты из скрытых категорий
→ Решение: добавить ' OR 1=1-- в URL
→ Время: 10–20 минут для первого раза
Путь к сертификации BSCP:
PortSwigger выпустил сертификацию Burp Suite Certified Practitioner (BSCP) — один из самых уважаемых сертификатов в веб-пентесте. Вся подготовка к экзамену — через бесплатную Web Security Academy.
web
Security Academy (бесплатно) → BSCP Exam ($99) → сертификат
> 📌 Если ваша цель — Bug Bounty или веб-пентест — начните именно отсюда. PortSwigger Web Security Academy охватывает 90% того, что встречается в реальных программах Bug Bounty.
Кому подходит: веб-разработчикам, которые хотят понять безопасность своего кода, будущим Bug Bounty-хантерам, специалистам, готовящимся к OSCP или BSCP
9. Как настроить безопасную локальную среду: Kali в VM за 20 мин
Иногда облачных ресурсов недостаточно — хочется полноценный Kali Linux под рукой. Вот как сделать это безопасно: Kali работает внутри виртуальной машины, изолированной от вашей основной системы.
Что вам нужно:
- Компьютер: 8 ГБ RAM (минимум 4 ГБ), 50 ГБ свободного места
- VirtualBox: бесплатно, `virtualbox.org` — качайте только с официального сайта
- Kali Linux VM Image: `kali.org/get-kali/#kali-virtual-machines` — официальный образ для VirtualBox/VMware
Пошаговая установка:
Шаг 1 — Скачайте VirtualBox (5 мин):
virtualbox
.org → Downloads → выберите вашу ОС → установите
Хеш файла после скачки: проверьте SHA256 на официальной странице
Шаг 2 — Скачайте Kali VirtualBox Image (15 мин — зависит от скорости):
kali
.org/get-kali/#kali-virtual-machines
→ VirtualBox (64-bit)
→ Скачать .ova файл (~3 ГБ)
→ Проверить SHA256 хеш (на той же странице)
Шаг 3 — Импортируйте образ (3 мин):
virtualbox
→ File → Import Appliance → выберите .ova
→ RAM: 4096 МБ (можно меньше, но неудобно)
→ CPU: 2 ядра
→ Import → дождитесь окончания
Шаг 4 — Настройте сеть (1 мин):
virtualbox
→ Выберите машину → Settings → Network
→ Adapter 1: NAT (интернет есть, но машина изолирована от локальной сети)
Шаг 5 — Запустите и войдите:
text
Логин: kali
Пароль: kali
(сразу смените: passwd → новый пароль)
Почему это безопасно:
Виртуальная машина — это «компьютер внутри компьютера». Если что-то пойдёт не так внутри Kali — ваша основная система не пострадает. Вирус в VM не может выйти наружу при стандартной конфигурации.
Что установить сразу в Kali:
bash
sudo apt update && sudo apt upgrade -y
<h2 id="osnovnye-instrumenty-bolshinstvo-uzhe-est-v-kali">Основные инструменты (большинство уже есть в Kali):</h2>
<h2 id="nmap-metasploit-burp-suite-wireshark-gobuster-ffuf">Nmap, Metasploit, Burp Suite, Wireshark, Gobuster, ffuf</h2>
<h2 id="dopolnitelno-dlya-uchyoby">Дополнительно для учёбы:</h2>
sudo apt install seclists # словари для брутфорса
Критическое правило: используйте Kali VM только для атак на легальные учебные цели (TryHackMe, HTB, локальные VulnHub-машины). Никогда не атакуйте реальные сети и системы — даже «для проверки».
10. Карьера в кибербезопасности: сертификаты, деньги, реальный путь
Карта профессий в ИБ:
| Направление | Что делаете | Стартовая зарплата РФ |
|---|---|---|
| Пентестер (Red Team) | Атакуете системы по заказу, ищете дыры | 120 000–180 000 ₽ |
| SOC-аналитик | Мониторинг, реагирование на инциденты | 80 000–130 000 ₽ |
| Bug Bounty Hunter | Ищете уязвимости за вознаграждение | 0 → 500 000+₽/мес |
| AppSec-инженер | Безопасность кода в DevOps-процессе | 150 000–250 000 ₽ |
| Malware-аналитик | Исследуете вредоносное ПО | 130 000–220 000 ₽ |
| Форензик-аналитик | Расследование инцидентов, экспертиза | 100 000–180 000 ₽ |
Сертификаты: что реально работает в 2026 году:
| Сертификат | Организация | Цена | Что подтверждает | Для кого |
|---|---|---|---|---|
| CompTIA Security+ | CompTIA | ~$400 | Базовые знания ИБ | Новичок |
| eJPT | eLearnSecurity | $200 | Начальный пентест | Новичок |
| BSCP | PortSwigger | $99 | Веб-пентест (Burp Suite) | Веб-фокус |
| CPTS | Hack The Box | $210 | Комплексный пентест | Middle |
| OSCP | Offensive Security | $1 499 | Продвинутый пентест, индустриальный стандарт | Middle+ |
| CRTO | Zero-Point Security | $400 | Red Team Operations | Senior |
Реалистичный путь за 12 месяцев:
text
Месяцы 1–2: TryHackMe (Pre-Security + Jr Penetration Tester)
Месяцы 3–4: HTB Academy (основные модули) + PicoCTF (50+ задач)
Месяцы 5–6: PortSwigger Web Security Academy (все Apprentice + Practitioner)
Месяц 7: HTB Labs (Easy-машины, 10–15 штук)
Месяц 8: Подготовка к eJPT → сдача ($200)
Месяцы 9–10: HTB Labs Medium + HTB Academy Advanced
Месяцы 11–12: CPTS или OSCP (выбрать одно)
После этого пути: портфолио на GitHub (writeups решённых задач), профиль на HTB/TryHackMe с историей, сертификат — достаточно для первого собеседования на позицию Junior Penetration Tester.
Сколько реально зарабатывают на Bug Bounty (данные HackerOne/Bugcrowd 2025):
| Уровень | Доход в месяц |
|---|---|
| Новичок (первые 6 мес) | 0–20 000 ₽ |
| Начинающий (6–18 мес) | 20 000–80 000 ₽ |
| Опытный (2–4 года) | 100 000–400 000 ₽ |
| Топ-хантер (единицы) | 1 000 000+₽/мес |
11. Bug Bounty как практика: первые шаги без нарушения закона
Bug Bounty — программы, в которых компании платят исследователям за найденные уязвимости в своих системах. Это легальный способ применять навыки атаки на реальные цели — с письменным разрешением компании.
Как работает легально:
text
Компания объявляет программу → Определяет scope (что можно атаковать)
→ Вы регистрируетесь → Находите уязвимость в scope
→ Отправляете отчёт → Компания подтверждает → Получаете вознаграждение
Платформы Bug Bounty:
| Платформа | Особенность | Для новичков |
|---|---|---|
| HackerOne | Крупнейшая, много корпоративных программ | ★★★☆☆ |
| Bugcrowd | Фокус на enterprise | ★★☆☆☆ |
| Intigriti | Европейские компании, GDPR-контекст | ★★★☆☆ |
| YesWeHack | Французская платформа, растёт | ★★★☆☆ |
| Standoff365 | Российская платформа (bi.zone) | ★★★★☆ |
Правило № 1 — Scope превыше всего:
Каждая программа определяет scope — что именно можно атаковать. Нарушение scope = уголовное дело, даже если уязвимость найдена.
in
Scope: *.example.com, api.example.com
Out of Scope: example-partner.com, internal.example.com
Проверяйте scope перед каждым тестом. Если домен не указан явно как in-scope — не трогайте.
Первые программы для новичка:
Начинайте с программ с широким scope и большим количеством активов — там проще найти что-то:
hackerone
: "h1-ctf" — специальные CTF-программы для новичков
Bugcrowd: University программы — специально для студентов
Standoff365: российские компании, российский контекст, рублёвые выплаты
Типичный первый баг для новичка:
- Information Disclosure (раскрытие информации): открытый `.git` директорий, `robots.txt` с чувствительными путями
- Broken Access Control: доступ к чужим данным через изменение ID в URL
- XSS Reflected: отражённый скрипт в поисковой форме
Не ищите критические уязвимости сразу. Начните с P4/P5 (низкий критичности) — они проще, их больше, и они учат процессу репортинга.
Как написать первый отчёт:
text
Заголовок: [XSS] Reflected XSS in search parameter на /search?q=
Severity: Low/Medium
URL: https://example.com/search?q=<script>alert(1)</script>
Steps to Reproduce:
1. Перейти на https://example.com/search
2. Ввести в поле поиска: <script>alert(document.cookie)</script>
3. Нажать Enter
4. Наблюдать выполнение JavaScript
Impact: Атакующий может похитить сессионные cookie пользователей...
PoC: [скриншот с alert]
Качество отчёта важнее находки. Чёткий, воспроизводимый отчёт с описанием импакта оценивается выше, чем размытое описание критической уязвимости.
12. Юридическая граница: что легально, что нет, и где проходит черта
Хакинг — единственная область IT, где незнание закона буквально стоит свободы. Граница между этичным хакером и преступником — не в инструменте и не в намерении. Только в наличии письменного разрешения.
Применимые статьи УК РФ:
| Статья УК РФ | Нарушение | Санкция |
|---|---|---|
| 272 | Неправомерный доступ к компьютерной информации | До 7 лет |
| 273 | Создание и распространение вредоносных программ | До 7 лет |
| 274 | Нарушение правил эксплуатации ЭВМ | До 5 лет |
| 159.6 | Мошенничество в сфере компьютерной информации | До 10 лет |
Матрица легальности:
| Действие | Легально | Примечание |
|---|---|---|
| Атака на TryHackMe / HTB | ✅ | Явное разрешение платформы |
| Bug Bounty в рамках scope | ✅ | Письменное разрешение компании |
| Пентест своего собственного сервера | ✅ | Владелец = вы |
| Пентест сервера работодателя с его разрешения | ✅ | Нужен письменный договор |
| Сканирование nmap чужого IP «из интереса» | ❌ | Ст. 272 УК РФ |
| Атака на WiFi соседа «для проверки» | ❌ | Ст. 272 + 274 УК РФ |
| Взлом аккаунта «чтобы помочь другу» | ❌ | Ст. 272 УК РФ |
| Запуск DDoS «чтобы попрактиковаться» | ❌ | Ст. 272 + 159.6 УК РФ |
| Bug Bounty за пределами scope | ❌ | Ст. 272 УК РФ, даже с добрыми намерениями |
> 🔴 Самое распространённое заблуждение: «Я не причинил вреда — значит, не нарушил закон». Неправда. Сам факт несанкционированного доступа — преступление, вне зависимости от последствий.
Что значит «письменное разрешение»:
Для учебных платформ: Terms of Service, которые вы принимаете при регистрации — это и есть разрешение. Их платформы созданы для атак.
Для Bug Bounty: Security Policy программы на платформе — это контракт. Атака in-scope объекта = легально. Out-of-scope = уголовное дело.
Для коммерческого пентеста: подписанный договор с явным описанием scope, сроков и разрешённых методов. Без бумаги — не начинать.
Чего никогда не делать:
- Тестировать без разрешения даже «немного» или «посмотреть»
- Сохранять данные пользователей, которые вы нашли случайно
- Публично рассказывать об уязвимости до её закрытия компанией (coordinated disclosure)
- Использовать найденную уязвимость для чего-либо, кроме репорта
13. FAQ: 20 горячих вопросов
Q 01 Нужно ли знать программирование, чтобы начать изучать хакинг?
A Нет — для старта. TryHackMe и PicoCTF начинают с нуля. Но для серьёзного роста (пентест, Bug Bounty) базовый Python и понимание веб-технологий (HTML, HTTP, JavaScript) критически необходимы. Начинайте учиться параллельно.
Q 02 Kali Linux обязателен для обучения?
A Нет. TryHackMe, HTB и PortSwigger предоставляют Kali в браузере. Для первых 3–6 месяцев обучения Kali на своём компьютере не нужен вообще. Установите его в VM, когда почувствуете потребность.
Q 03 Можно ли заниматься хакингом на Windows?
A Да, через WSL2 (Windows Subsystem for Linux) или VM. Большинство инструментов работают в Linux — но учиться на TryHackMe и HTB можно с любой ОС через браузер.
Q 04 Сколько времени нужно до первой работы в ИБ?
A Реалистично — 12–18 месяцев при 10–15 часах в неделю. Быстрее если: у вас есть ИТ-фоновое (сети, Linux, программирование), вы участвуете в CTF, активно пишете writeups и нетворкаете в сообществе.
Q 05 Hack The Box или TryHackMe: с чего начать?
A TryHackMe. Всегда. HTB без базы — это стресс и разочарование. 1–2 месяца на TryHackMe создают фундамент, после которого HTB начинает приносить удовольствие, а не боль.
Q 06 Что такое writeup и зачем его писать?
A Writeup — подробное описание того, как вы решили задачу или взломали машину. Зачем: закрепляет знания (объяснение = понимание), создаёт публичное портфолио, помогает сообществу, показывает работодателю мышление кандидата. Публикуйте на Medium или GitHub.
Q 07 Опасно ли скачивать VulnHub-машины?
A VulnHub — легитимный ресурс с сообществом. Машины там безопасны — это образы ОС с намеренно уязвимым программным обеспечением. Главное: запускать их в изолированной VM с сетью Host-only или NAT, без выхода в интернет.
Q 08 Можно ли учиться хакингу без сертификатов?
A Да. Многие Bug Bounty-хантеры и пентестеры без единого сертификата зарабатывают больше сертифицированных коллег. Портфолио (HTB профиль, writeups, найденные баги) ценится выше бумаги. Сертификаты помогают пройти HR-фильтр в корпорациях.
Q 09 Что такое OSCP и стоит ли его сдавать?
A OSCP (Offensive Security Certified Professional) — самый уважаемый сертификат в пентесте. 24-часовой экзамен: взломать 5 машин за сутки. Стоит $1 499. Рекомендуется после 6–12 месяцев практики на HTB/TryHackMe. Открывает двери в топовые компании.
Q 10 Законно ли тестировать свою домашнюю WiFi-сеть?
A Да, если сеть ваша. Нет, если в той же сети есть устройства соседей (например, через общий роутер в арендованной квартире). Для практики WiFi-атак используйте специально купленный дешёвый роутер и отдельный адаптер — только для учёбы.
Q 11 Нужен ли VPN для HTB/TryHackMe?
A HTB Labs требует VPN (OpenVPN) для доступа к машинам. Но обе платформы предоставляют браузерный Kali (Pwnbox/AttackBox) без VPN. Для начала используйте браузерный вариант — нет рисков, нет сложной настройки.
Q 12 Что такое CTF и чем он отличается от реального пентеста?
A CTF — соревнование с нереалистичными, но обучающими задачами. Реальный пентест — исследование живой инфраструктуры по договору. CTF развивает технический инструментарий быстро. Пентест учит методологии, отчётности, коммуникации с клиентом. Нужно и то, и другое.
Q 13 Как найти ментора в кибербезопасности?
A Discord-серверы: TryHackMe, HTB, TCM Security, 0xdf. Telegram-сообщества по ИБ. Конференции: PHDays, ZeroNights (Россия), DEF CON, Black Hat (международные). Лучший способ найти ментора — самому решать задачи и публично делиться результатами.
Q 14 Можно ли зарабатывать на Bug Bounty без опыта?
A Первые 6 месяцев — скорее нет. Это нормально. Используйте это время для учёбы через PortSwigger и решения лёгких задач. Первый баг (даже на $50) обычно приходит через 3–9 месяцев активной практики.
Q 15 Какой дистрибутив Linux лучше для изучения хакинга?
A Kali Linux — стандарт индустрии, всё предустановлено. Parrot OS — чуть легче для слабого железа. BlackArch — для продвинутых. Для новичка: Kali в VM с официального сайта. Точка.
Q 16 Можно ли практиковать хакинг на телефоне?
A Частично. TryHackMe, PicoCTF, PortSwigger открываются в мобильном браузере — теорию читать можно. Полноценную практику с терминалом на телефоне делать неудобно. Termux на Android + SSH к TryHackMe — работает, но не оптимально.
Q 17 Что такое «Red Team» и как туда попасть?
A Red Team — команда, которая симулирует атаки APT-уровня на организацию: многонедельные операции с физическим проникновением, социальной инженерией, продвинутыми техниками. Туда берут после 3–5 лет в пентесте с OSCP/CRTO и опытом реальных проектов.
Q 18 Нужно ли учить криптографию для хакинга?
A Базово — да. Понимание симметричного/асимметричного шифрования, хешей, TLS помогает в 50% задач на CTF и пентесте. Глубокую криптографию (математику RSA, эллиптические кривые) нужно знать только если идёте в Crypto-направление.
Q 19 Как создать портфолио хакера без реального опыта?
A Профиль на TryHackMe (топ % пользователей). Профиль на HTB (ранг и решённые машины). GitHub с writeups CTF-задач. Medium-блог с разборами HTB/THM-машин. Участие в командных CTF-соревнованиях. Найденный баг в Bug Bounty (даже закрытый как N/A — опыт). Это реальное портфолио без «боевого опыта».
Q 20 Хакинг и этика: как оставаться на правильной стороне?
A Три правила: 1) Атакуй только то, на что есть разрешение — всегда, без исключений. 2) Найденные данные не читай, не сохраняй, не используй — только репортируй. 3) Vulnerability disclosure — всегда coordinated (сначала уведомляешь компанию, ждёшь исправления, потом публикуешь). Остальное — детали.
14. Чек-лист «30 мин до безопасного старта в хакинге»
Блок 1: Проверить то, что уже есть (5 мин)
- ☐ Просмотреть «курсы», которые уже скачали — есть ли там исполняемые файлы?
- ☐ Если есть — проверить через `virustotal.com` (загрузить файл, не запускать)
- ☐ Удалить архивы из непроверенных источников до запуска
- ☐ Проверить: установлено ли что-то незнакомое → Диспетчер задач / Activity Monitor
Блок 2: Зарегистрироваться на безопасных платформах (10 мин)
- ☐ `tryhackme.com` → создать аккаунт → открыть «Pre-Security» path
- ☐ `picoctf.org` → создать аккаунт → войти в Practice Arena
- ☐ `portswigger.net/web-security` → создать аккаунт → первая лаборатория SQL Injection
- ☐ `hackthebox.com` → создать аккаунт → попробовать Starting Point
Блок 3: Первые шаги (10 мин)
- ☐ TryHackMe: запустить первую комнату «Linux Fundamentals Part 1»
- ☐ PicoCTF: решить «Obedient Cat» (самая первая задача)
- ☐ PortSwigger: прочитать теорию SQL Injection → нажать «Access the lab»
- ☐ Создать папку на рабочем столе «CTF Notes» — начать записывать команды
Блок 4: Настроить безопасную среду (5 мин на планирование)
- ☐ Решить: нужна ли VM прямо сейчас? (Нет — для первого месяца браузера достаточно)
- ☐ Если да: скачать VirtualBox только с `virtualbox.org`
- ☐ Если да: скачать Kali только с `kali.org/get-kali/#kali-virtual-machines`
- ☐ Проверить SHA256 хеш скачанного файла перед установкой
Итого: 30 минут — вы уже на безопасных платформах с первыми задачами.
15. Заключение: что делать дальше
1. Начните с TryHackMe сегодня — зарегистрироваться и пройти первую комнату занимает 20 минут. Это единственное действие, которое нужно сделать прямо сейчас. Не «изучить Kali», не «скачать курс» — открыть браузер и начать.
2. Параллельно изучайте Python и основы сетей — это фундамент, без которого хакинг превращается в копипаст чужих команд без понимания. Даже 30 минут в день на python.org/about/gettingstarted дадут результат за месяц.
3. Никогда не устанавливайте инструменты из Telegram, Google Drive и анонимных источников — только с официальных сайтов с проверкой хеша. Это правило, которое вы никогда не нарушите, если хотите оставаться на правильной стороне.
4. Участвуйте в CTF-соревнованиях — ctftime.org публикует расписание всех CTF в мире. Начните с рейтинговых соревнований для новичков. Команда делает CTF в разы ценнее.
5. Пишите writeups — каждое решённое задание описывайте в блоге или на GitHub. Через год это станет портфолио, которое заменит резюме на собеседовании.
6. Изучите Bug Bounty через PortSwigger, потом через HackerOne — первый найденный баг, даже за $50, стоит больше любого сертификата в плане мотивации и понимания реального процесса.
> 🔒 Хакинг — это мышление, а не набор инструментов. Инструменты меняются, уязвимости эволюционируют, платформы появляются и исчезают. Остаётся способность видеть систему с точки зрения атакующего — и именно это развивают четыре ресурса из этой статьи. Без риска для вашего компьютера.
