Har jeg brug for erfaring på forhånd?

Nej. Start i fuldt kontrollerede labs med klart defineret omfang. Hvis du foretrækker en guidet vej med feedback, indeholder vores Kurser og Cybersecurity Bootcamp trin-for-trin-labs og mentoranmeldelser for begyndere og karriereskiftere.

Hvor mange projekter er nok?

Tre dybe, veldokumenterede projekter slår som regel ti overfladiske. Sigter du mod at udgive alle syv over tid, så læg ekstra kræfter i de tre, der bedst matcher dine målroller.

Hvordan holder jeg det lovligt?

Test kun aktiver, du ejer, eller som du har udtrykkelig skriftlig tilladelse til at teste. Dokumentér omfanget, brug syntetiske data, og fjern alt følsomt, før du publicerer.

Pentest-portfolio 2026: 7 etiske hackingprojekter at vise

Senest opdateret November 06, 2025 6 minutters læsning

Sikkerhedsingeniør gennemgår en Dockerfile på en bredskærm med et rødt skjoldikon i et moderne kontor; container-hærdning; Code Labs Academy cover.

Komme ind i cybersikkerhed i 2026 handler stadig om beviser. Arbejdsgivere vil se, hvordan du afgrænser, tester og kommunikerer risiko – ikke bare at du kan køre værktøjer. Et stærkt pentest-portfolio gør nysgerrige rekruttører til ivrige interviewere, fordi det viser reel tænkning, reelle beviser og reel effekt.

I denne guide bygger du syv praktiske projekter, der matcher kernekompetencer fra Active Directory-angrebsveje til cloud-IAM-fejlkonfigurationer. Hvert projekt inkluderer, hvad du skal gøre, hvad du skal vise, og hvordan du pakker resultaterne, så din GitHub og dit CV fortæller en klar, jobklar historie.

Hvorfor et pentest-portfolio stadig vinder i 2026

Ansættelsesteams skimmer dusinvis af profiler om dagen. De stopper, når de ser metode, effekt og klarhed. Det betyder et tydeligt defineret omfang, en kædet udnyttelse eller to, og et rent ledelsesresumé, som en ikke-teknisk interessent kan forstå på få minutter.

Hold dit portfolio stramt og læsbart. Brug korte afsnit, skarpt mærkede skærmbilleder og 30–60 sekunders demoklip. Vis før/efter for hver afhjælpning, og slut af med en enkel plan, der beviser, at du tænker som en konsulent.

Projekt 1: Active Directory angreb–forsvar i hjemmelab

Opsæt en mini-virksomhed med en domænecontroller, to Windows-klienter og en Linux-angrebsmaskine. Indfør bevidst svage ACL’er eller ukontrolleret delegation, gå derefter en angribers vej fra fodfæste til opskalering af domæneprivilegier, og dokumentér, hvad blue team ville se.

Fokuser på hvorfor bag hvert skridt. Indfang Sysmon-logs, Event Viewer-spor og en kort blue team-note, der forklarer, hvilken telemetri bekræftede kompromitteringen. Afslut med en én-sides afhjælpningsplan, der hærder identiteter, tjenester og delegationsveje.

Hvad du skal vise: et angrebsvej-diagram, nøglekommandoer og en rød/blå tidslinje.
Resultat at fremhæve: hvordan fejlkonfigurationer forstærkede risikoen, og hvordan dine rettelser reducerede den. For mentorstøtte under opbygningen, se Cybersecurity Bootcamp pensum og support.

Projekt 2: Webapp-pentest på et realistisk mål

Behandl en bevidst sårbar app som et kundeengagement. Skriv et kort dokument om omfang og regler, og test så for brudt adgangskontrol, injektion og autentificeringssvagheder. Kæd et low-privilege auth-bypass med en IDOR for at nå følsomme data, og vis forretningspåvirkningen klart.

Forklar hvert fund i to dele. Først en skarp teknisk opsummering med request/response-forskelle og anonymiserede payloads. Dernæst en forretningsoversættelse, der angiver hvem der kan skades, hvad der kan tabes, og hvordan rettelsen ændrer risikobilledet.

Hvad du skal vise: korte PoC-GIF’er, en endelig tabel med prioriterede rettelser og standardindstillinger med sikkerhed som udgangspunkt.
Bonus: Sammenlign afhjælpning med praksis fra Webudviklings-bootcamp for bedre samarbejde med udviklere.

Projekt 3: Trådløs sikkerhedsvurdering i et kontrolleret lab

Byg et sikkert trådløst testmiljø med dit eget access point og klientenheder. Gennemgå WPA2/WPA3-opsætninger, udfør et kontrolleret evil twin-forsøg, og verificér om EAP-indstillinger eller svage adgangskoder giver lette gevinster for angribere.

Din rapport skal tage driftsvirkelighed alvorligt. Fremhæv juridisk omfang, samtykke og sikkerhedskontroller. Lever en kort “ejervejledning” – stærke adgangskoder, korrekt håndtering af SSID’er, firmwareopdateringer og gæstenet adskilt fra kritiske systemer.

Hvad du skal vise: pakkesporinger, annoterede skærmbilleder og en klar tjekliste med afhjælpninger.
Mål: vis at du kan finde problemet, forklare det enkelt og hjælpe ikke-eksperter med at fikse det uden frygt.

Projekt 4: Cloud-IAM-fejlkonfiguration og storage-eksponering

Spin et minimalt AWS- eller Azure-miljø op, og fejlkonfigurér bevidst én S3-bucket (lagringsspand) og et par IAM-politikker. Enumerér identiteter, find eskaleringsveje, og demonstrér hvordan mindste privilegium forhindrer utilsigtet adgang til følsomme objekter.

Vis hele buen fra opdagelse til forsvar. Inkludér politik før/efter, det minimale sæt tilladelser der kræves til workloaden, og et lille script, der re-auditerer drift på en tidsplan. Hold data falske men realistiske, og undgå over-provisionering for bekvemmelighed.

Hvad du skal vise: arkitektur- og blast-radius-diagrammer, CLI-spor og en tjekliste til nye projekter.
Resultat at fremhæve: Du forstår shared-responsibility-modellen og kan coache teams mod sikrere standarder.

Projekt 5: Mobilapp-trafik og API-sikkerhedsreview

Brug en demoapp, du kontrollerer, til at undersøge mobil-til-API-flowet. Opsnap trafik, vurder token-håndtering, og test anmodningsbegrænsninger og ID-forudsigelighed. Validér certifikat-pinning, og tjek om følsomme data kan tilgås ved at ændre objekt-ID’er.

Fortæl historien fra en brugers perspektiv. Hvad kan en angriber gøre uden legitimationsoplysninger? Hvad ændrer sig efter login? Hvor lever tokens, og hvor længe varer de? Knyt hvert fund til en konkret udviklerhandling, såsom stærkere server-side-kontroller eller hærdet opbevaring.

Hvad du skal vise: request-kort, token-livscyklusdiagrammer og resultater fra tests af anmodningsbegrænsninger.
Leverance: et API-risikoregister med alvorlighed, udnyttelighed og estimeret tidsforbrug til rettelse.

Projekt 6: Forsyningskæde og hærdning i containeriseret stack

Sammensæt en lille app med frontend, API og database. Scan images for kendte CVE’er, generér en SBOM, og lås derefter kørselsmiljøet ned med seccomp eller AppArmor-profiler og skrivebeskyttede filsystemer hvor muligt. Forsøg et lab-only container-udbrud, og dokumentér hvad der stopper dig.

Bro mellem udvikling og sikkerhed med empati. Forklar hvordan man bevarer udviklerhastighed og samtidig håndhæver proveniens og politik. Indfang de præcise diffs i dine Docker Compose- eller Kubernetes-manifester, så gennemse-teamet hurtigt kan replikere resultatet.

Hvad du skal vise: scanresultater med kontekst, politikudsnit og en “fra dev til prod”-hærdningstjekliste.
Resultat: bevis at du kan bygge som en udvikler og sikre som en angriber.

container-haerdning-dockerfile-roedt-skjold-da-750x500.webp

Projekt 7: Rapportering – fra fund til bestyrelsesklar historie

Vælg to eller tre af dine stærkeste fund, og lav en poleret rapportpakke. Start med et ledelsesresumé, der formulerer risiko i almindeligt sprog, fortsæt med reproducerbare tekniske skridt, og afslut med en prioriteringsmatrix og gentest-noter.

Respektér læserens tid. Hold resuméet på én side, brug konsistente alvorlighedskriterier, og vis før/efter-beviser, der gør fremgang åbenlys. Gør dine visuals læsbare på en laptop uden zoom eller gætteri.

Hvad du skal vise: et stramt sæt PDF’er eller markdown-sider, en ændringslog og underskrevne afhjælpningsskridt.
Mål: demonstrér kommunikationsevner, der låser op for tillid, budget og handling.

Sådan pakker du dit portfolio, så det bliver læst

Strukturer din GitHub som et engagement. Brug en README i roden, der forklarer dit fokus og linker til hvert projekt, og hold derefter hvert projekt selvstændigt med mapper til omfang, metode, beviser og rapport. Tilføj en kort etiknote, og fjern eventuelle følsomme data.

Hold beviserne stramme og visuelle. En kort video slår en tekstvæg; et rent diagram slår hundrede ord. Brug konsistente filnavne, alt-tekst på billeder og billedtekster, der gør dine beviser skimme-venlige for travle reviewere.

For guidet pakning, portfolio-reviews og mock-interviews, se vores Cybersikkerheds-bootcamp. Vi finpudser historiefortælling lige så meget som teknik, så hiring managers husker dit arbejde.

En praktisk 4–6 ugers plan

Uge 1: Sæt dit AD-lab op, definér omfang og start logning tidligt, så blue team-beviset er rigt.
Uge 2: Fuldfør AD-angrebsvejen, skitser afhjælpning, og begynd din webapp-test for momentum på tværs af domæner.
Uge 3: Polér webrapporten og tag enten trådløst eller mobil afhængigt af mål.
Uge 4: Kør cloud-IAM-lab og commit drift-audit-scripts.
Uge 5–6: Container-hærdning og din rapport-masterclass-pakke.

Publicér hver uge et kort statusopslag og link det fra din README. Rytmen viser disciplin, kommunikerer fremdrift og giver rekruttører en grund til at kigge forbi igen.

Hvad rekruttører kigger efter – og hvordan du beviser det

De vil have metode over værktøjer: du forklarer, hvorfor skridt betyder noget – ikke bare hvilke knapper du klikkede på. De vil have end-to-end-tænkning: du kæder problemer til forretningspåvirkning og foreslår rettelser, der faktisk reducerer risiko.

De vil også have kommunikation: du kan briefe en udvikler kl. 10 og en direktør kl. 16 uden at ændre kernebudskabet. Endelig kigger de efter etik: du tester kun det, du ejer, eller har skriftlig tilladelse til at vurdere, og du respekterer sikre, lovlige grænser.

Dit næste skridt: Byg med struktur, bliv ansat hurtigere

Hvis du vil starte eller skifte ind i cybersikkerhed i 2026, så byg med coaching, der komprimerer læringstiden og maksimerer ansættelsessignaler. Sammenlign skemaer, finansiering og karrierestøtte i vores Cybersikkerheds-bootcamp, eller udforsk alle Kurser.

Byg projekter, som arbejdsgivere genkender. Fortæl en historie, de husker. Og lav så den historie om til dit første jobtilbud – med Code Labs Academy ved din side.