Pentest portfólió 2026: 7 etikus hackelési projekt bemutatásra

Frissítve a November 06, 2025 -en 6 percek olvasása

Biztonsági mérnök Dockerfile-t vizsgál egy szélesvásznú monitoron, piros pajzs ikonnal, modern irodában; konténer-keményítés, Code Labs Academy borítókép.

A kiberbiztonságba való belépés 2026-ban is a bizonyítékon múlik. A munkáltatók azt akarják látni, hogyan határolod le a hatókört (scope), hogyan tesztelsz (test), és hogyan kommunikálsz (communicate) a kockázatról – nem csak azt, hogy tudsz eszközöket futtatni. Egy erős pentest portfólió a kíváncsi toborzókból lelkes interjúztatókat csinál, mert valós érvelést, valós bizonyítékot és valós hatást mutat.

Ebben az útmutatóban hét gyakorlati projektet építesz, amelyek alapkompetenciákhoz kötődnek az Active Directory támadási útvonalaktól a felhőbeli IAM-félrekonfigurálásokig. Mindegyik projekt leírja, mit tegyél, mit mutass be, és hogyan csomagold az eredményeket úgy, hogy a GitHub-od és az önéletrajzod egyértelmű, munkára kész történetet meséljen.

Miért nyer még mindig a pentest portfólió 2026-ban

A felvételi csapatok naponta tucatnyi profilt futnak át. Ott állnak meg, ahol módszert, hatást és tisztaságot látnak. Ez világosan meghatározott hatókört, egy-két láncolt exploitot és egy olyan tiszta vezetői összefoglalót jelent, amelyet egy nem technikai érintett is percek alatt megért.

Tartsd tömören és olvashatóan a portfóliódat. Használj rövid bekezdéseket, élesen feliratozott képernyőfotókat és 30–60 másodperces demóklippeket. Mutasd meg az egyes javítások előtte/utána állapotát, és zárj egyszerű remediációs tervvel, amely bizonyítja, hogy tanácsadóként gondolkodsz.

Projekt 1: Active Directory támadás–védelem otthoni labor

Állíts fel egy mini vállalati környezetet tartományvezérlővel, két Windows klienssel és egy Linux támadógéppel. Szándékosan vezess be gyenge ACL-eket vagy unconstrained delegationt, majd járd be a támadó útját a kezdeti lábnyomtól a tartományi jogosultságszint emeléséig és dokumentáld, mit látna a blue team.

A miért-re fókuszálj minden lépés mögött. Rögzíts Sysmon logokat, Event Viewer nyomokat, és írj egy könnyű detekciós jegyzetet, amelyben megnevezed, mely telemetria igazolta a kompromittálást. Zárásként adj egy egyoldalas remediációs tervet, amely az identitásokat, szolgáltatásokat és delegációs útvonalakat keményíti.

Mit mutass: támadási útvonal-diagramot, kulcs parancsrészleteket és vörös/kék idővonalat. Kiemelendő eredmény: hogyan növelték a félrekonfigurálások a kockázatot, és a javításaid hogyan csökkentették azt. Mentorálásért lásd a Kiberbiztonsági bootcamp tantervét és támogatását.

Projekt 2: Webalkalmazás-pentest élethű célon

Kezelj egy szándékosan sérülékeny appot úgy, mint egy ügyfélmegbízást. Írj rövid megbízási/tesztelési szabályokat (rules-of-engagement), majd teszteld a hozzáférés-vezérlés sérüléseit, az injekciót és az autentikációs gyengeségeket. Fűzz össze egy alacsony jogosultságú auth megkerülést egy IDOR-ral, hogy érzékeny adatokhoz juss, és az üzleti hatást mondd ki tisztán.

Minden találatot két részben magyarázz. Először tömör technikai összegzés kérés/válasz diffekkel és anonimizált payloadokkal. Másodszor üzleti fordítás: kit érhet kár, mi veszne el, és a javítás hogyan változtatja meg a kockázati képet.

Mit mutass: rövid PoC GIF-ek, végső, priorizált javítási táblázat és alapértelmezetten biztonságos beállítások. Bónusz: Hasonlítsd össze a remediációs tanácsodat a Webfejlesztési bootcamp gyakorlatával, hogy jobban tudj együttműködni a fejlesztőkkel.

Projekt 3: Vezeték nélküli biztonsági értékelés kontrollált laborban

Építs biztonságos Wi-Fi tesztágyat saját hozzáférési ponttal és klienseszközökkel. Vizsgáld felül a WPA2/WPA3 konfigurációkat, végezz kontrollált evil twin támadást, és ellenőrizd, okoznak-e az EAP beállítások vagy gyenge jelszavak könnyű sikereket a támadóknak.

A jelentés az operatív valóságot kezelje gondosan. Hangsúlyozd a jogi hatókört, a hozzájárulást és a biztonsági kontrollokat. Adj egy rövid „tulajdonosi útmutatót”, amelyet egy kis iroda is követhet – erős jelszavak, SSID-k helyes kezelése, firmware-frissítések, és a vendéghálózatok leválasztása a kritikus rendszerekről.

Mit mutass: csomagrögzítések (pcap), eszköz-képernyőképek jegyzetekkel, és világos mitigációs ellenőrzőlista. Cél: bizonyítani, hogy megtalálod a hibát, egyszerűen elmagyarázod, és segítesz a nem szakértőknek is félelem nélkül javítani.

Projekt 4: Felhő IAM félrekonfigurálás és tárhely-kitettség

Hozz létre minimális AWS vagy Azure fiókot, és szándékosan konfigurálj rosszul egy tárhelyvödröt és néhány IAM szabályt. Sorold fel az identitásokat, találd meg az eszkalációs útvonalakat, és mutasd be, hogyan akadályozza meg a legkisebb jogosultság az érzékeny objektumok nem szándékolt elérését.

Mutasd be a teljes ívet a felfedezéstől a védelemig. Tedd be a szabály előtte/utána változatát, a feladathoz szükséges minimális engedélykészletet, és egy kis scriptet, amely ütemezetten újraellenőrzi a driftet. Az adat legyen hamis, de életszerű, és kerüld a túlzott jogosultságokat a kényelem kedvéért.

Mit mutass: architektúra- és károkozási sugár diagramok, CLI-kimenetek, és egy ellenőrzőlista új projektekhez. Kiemelendő eredmény: érted a megosztott felelősségi modellt, és tudsz csapatokat biztonságosabb alapértelmezések felé terelni.

Felhő pentest labor

Projekt 5: Mobilapp forgalom és API biztonsági felülvizsgálat

Használj egy általad kontrollált demóappot a mobil-API folyamat vizsgálatához. Fogd el a forgalmat, értékeld a tokenkezelést, teszteld a sebességkorlátokat és az azonosító-kiszámíthatóságot. Validáld a tanúsítvány-pinninget, és ellenőrizd, visszafejthető-e érzékeny adat pusztán objektumazonosítók cseréjével.

Meséld el a történetet felhasználói szemszögből. Mit tud támadó tenni hitelesítés nélkül? Mi változik bejelentkezés után? Hol élnek a tokenek, és meddig? Kösd minden megállapítást konkrét fejlesztői akcióhoz, például erősebb szerveroldali ellenőrzésekhez vagy keményített tároláshoz.

Mit mutass: kérés-térképek, token életciklus-diagramok, és rate-limit teszteredmények. Leadandó: API kockázati nyilvántartás súlyossággal, kihasználhatósággal és javítási ETA-val, hogy a csapatok tájékozott kompromisszumot kössenek.

Projekt 6: Konténerstack supply chain és futásidejű keményítés

Állíts össze egy apró appot front-enddel, API-val és adatbázissal. Szkenneld a képeket ismert CVE-kre, generálj SBOM-ot, majd zárd le a futásidőt seccomp vagy AppArmor profilokkal és ahol lehet, csak olvasható fájlrendszerrel. Kísérelj meg labor-környezetben konténer-kitörést, és dokumentáld, mi állít meg.

Hídd át empátiával a Dev és Sec világát. Magyarázd el, hogyan tartható fenn a fejlesztői sebesség, miközben a származás és a policy érvényesül. Rögzítsd pontos diffekkel a compose vagy Kubernetes manifestekben, hogy a bírálók gyorsan reprodukálhassák az eredményt.

Mit mutass: szkenner-eredmények kontextussal, policy-részletek és „devtől prodig” keményítési ellenőrzőlista. Eredmény: bizonyítsd, hogy építőként gondolkodsz és támadóként biztosítasz.

Konténer keményítés

Projekt 7: Jelentéskészítési mesterkurzus – a lelettől az igazgatósági történetig

Válassz ki kettő-három legerősebb leletet, és állíts össze csiszolt jelentéscsomagot. Vezess egy vezetői összefoglalóval, amely a kockázatot közérthetően mondja ki, utána jöjjenek a reprodukálható technikai lépések, végül prioritási mátrix és retest jegyzetek.

Tiszteld az olvasó idejét. Tartsd egy oldalon az összefoglalót, használj következetes súlyossági kritériumokat, és mutass előtte/utána bizonyítékot, amely nyilvánvalóvá teszi a haladást. A vizuálok legyenek laptopon, nagyítás nélkül is olvashatók.

Mit mutass: feszes PDF- vagy markdown-csomag, változásnapló és jóváhagyott javítási lépések. Cél: olyan kommunikációs készségek demonstrálása, amelyek bizalmat, költségvetést és akciót nyitnak.

Hogyan csomagold a portfóliódat, hogy tényleg elolvassák

Szervezd a GitHub-ot úgy, ahogy egy tanácsadó szervez egy megbízást. Legyen egy top-level README, amely elmagyarázza a fókuszod és linkel minden projektre; minden projekt legyen önálló, hatókör, módszer, bizonyíték és riport mappákkal. Tegyél hozzá rövid etikai megjegyzést, és távolíts el minden érzékeny adatot.

A bizonyíték legyen tömör és vizuális. Egy rövid videó többet ér, mint egy szövegfal; egy tiszta diagram többet ér ezer szónál. Használj következetes fájlneveket, alt-szöveget a képeken és feliratokat, amelyek a bizonyítékot a siető bírálók számára is „skimmelhetővé” teszik.

Irányított csomagoláshoz, portfólió-reviewkhoz és próba interjúkhoz nézd meg a Kiberbiztonsági bootcamp programunkat. A történetmesélést ugyanúgy csiszoljuk, mint a technikát, hogy a hiring managerek emlékezzenek a munkádra.

Gyakorlati 4–6 hetes terv

  1. hét: állítsd be az AD labort, definiáld a hatókört, és indíts korán logolást, hogy a „kék” bizonyíték gazdag legyen.

  2. hét: fejezd be az AD támadási útvonalat, vázold a remediációt, és kezdd el a webapp tesztet, hogy több doménen tartsd a lendületet.

  3. hét: polírozd a webes riportot, és fogj bele a vezeték nélkülibe vagy a mobilba – érdeklődés és célzott állások szerint.

  4. hét: futtasd a felhő IAM labort és commitold a drift-audit scripteket, majd az 5–6. héten jöjjön a konténer-keményítés és a jelentéskészítési mesterkurzus csomag.

Minden héten tegyél közzé rövid státuszposztot, és linkeld a README-ből. Ez a ritmus fegyelmet jelez, kommunikálja a haladást, és okot ad a toborzóknak a visszanézésre.

Mit keresnek a toborzók, és te hogyan bizonyítod

Ők módszert az eszközök helyett akarnak: megmagyarázod, miért fontosak a lépések, nem csak azt, mely gombokat nyomtad. Végponttól végpontig gondolkodást akarnak: az ügyeket üzleti hatásig fűzöd, és olyan javításokat javasolsz, amelyek valóban csökkentik a kockázatot.

Azt is akarják, hogy kommunikálj: 10:00-kor fejlesztőt, 16:00-kor igazgatót tudsz briefelni, a mag ugyanaz marad. Végül etikát keresnek: csak olyat tesztelsz, ami a tiéd vagy amire írásos engedélyed van, és tiszteletben tartod a biztonságos, legális kereteket.

A következő lépésed: építs struktúrával, szerezz gyorsabban ajánlatot

Ha komolyan gondolod a kiberbiztonsági indulást vagy váltást 2026-ban, építs olyan coachinggal, amely lerövidíti a tanulási időt és maximalizálja a felvételi jeleket. Hasonlítsd össze az időbeosztást, finanszírozást és karriertámogatást a Kiberbiztonsági bootcamp programban, vagy fedezd fel az összes kurzust.

Építs projekteket, amelyeket a munkáltatók felismernek. Mesélj történetet, amire emlékeznek. Majd fordítsd ezt a történetet első ajánlatoddá a Code Labs Academy támogatásával.

Gyakran ismételt kérdések

Karrierszolgáltatások

Személyre szabott karriertámogatás a tech-pályakezdéshez. Önéletrajz-áttekintés, próbainterjúk és iparági betekintés segítik új készségeid bemutatását.