Պետք՞ է նախնական փորձ։

Ո՛չ։ Սկսեք լիովին վերահսկվող լաբորատորիաներից և հստակ սահմաններից։ Եթե նախընտրում եք ուղեկցվող ուսուցում արձագանքով, մեր Դասընթացներն ու Կիբերանվտանգության Բութքեմփը ներառում են քայլ առ քայլ լաբորատորիաներ և մենթորական վերանայումներ՝ սկսնակների ու կարիերա փոխողների համար։

Քանի՞ նախագիծ է բավարար։

Երեք խորը և լավ փաստաթղթավորված նախագիծը սովորաբար գերազանցում է տասը մակերեսայինին։ Նպատակացրեք ժամանակի ընթացքում անել բոլոր յոթը, բայց լրացուցիչ ջանք ներդրեք այն երեքում, որոնք լավագույնս համապատասխանում են ձեր թիրախային դերերին։

Ինչպե՞ս պահպանել օրինական սահմանները։

Թեստավորեք միայն այն ակտիվները, որոնց սեփականատերն եք կամ ունեք հստակ գրավոր թույլտվություն։ Փաստաթղթավորեք շրջանակը, պահեք տվյալները սինթետիկ և հրապարակումից առաջ հեռացրեք ցանկացած զգայուն նյութ։

Փենթեստ պորտֆոլիո 2026․ 7 էթիկական հաքերային նախագծեր ցուցադրելու համար

Թարմացվել է November 07, 2025 6 Րոպեներ կարդացեք

Անվտանգության ինժեները լայնէկրան մոնիտորի վրա դիտում է ժամանակակից գրասենյակային միջավայրում կարմիր վահանի 아이կոնով, կոնտեյներների կոփում, Code Labs Academy քավեր։

Աշխատատուները ուզում են տեսնել՝ ինչպես եք շրջանակը, թեստը և ռիսկը հաղորդակցում, ոչ թե պարզապես գործիքներ եք աշխատեցնում։ Ուժեղ փենթեստ պորտֆոլիոն հետաքրքրասեր ռիքրութերին դարձնում է պատրաստակամ հարցազրուցավարի, որովհետև ցույց է տալիս իրական մտածողություն, իրական ապացույցներ և իրական ազդեցություն։

Այս ուղեցույցում կկառուցեք յոթ գործնական նախագիծ, որոնք քարտեզագրվում են հիմնական հմտություններին՝ սկսած Active Directory-ի հարձակման ուղիներից մինչև ամպային IAM սխալկազմավորումներ։ Յուրաքանչյուր նախագծի համար կտեսնեք՝ ինչ անել, ինչ ցուցադրել և ինչպես փաթեթավորել արդյունքները, որպեսզի ձեր GitHub-ը և ռեզյումնե՛ն պատմեն հստակ, աշխատանքի պատրաստ պատմություն։

Ինչու է փենթեստ պորտֆոլիոն դեռ հաղթում 2026-ին

Վարձակալող թիմերը օրը տասնյակ պրոֆիլներ են թերթում։ Նրանք կանգ են առնում, երբ տեսնում են մեթոդ, ազդեցություն և հստակություն։ Սա նշանակում է հստակ սահմանված շրջանակ, մեկ-երկու շղթայված էքսպլոյթ և մաքուր ղեկավարական ամփոփում, որը ոչ տեխնիկական շահառուն կհասկանա մի քանի րոպեում։

Պահպանեք պորտֆոլիոն կարճ և ընթեռնելի։ Օգտագործեք կարճ պարբերություններ, հստակ պիտակավորված էկրանակադրեր և 30–60 վայրկյանանոց դեմո-հոլովակներ։ Ցուցադրեք յուրաքանչյուր շտկման մինչեւ/հետո տարբերակը և եզրափակեք պարզ մեղմացման պլանով, որը ապացուցում է, որ մտածում եք խորհրդատուի նման։

Նախագիծ 1․ Active Directory հարձակում–պաշտպանություն տնային լաբորատորիա

Կազմեք փոքրիկ ձեռնարկություն՝ Դոմեյն վերահսկիչ, երկու Windows հաճախորդ և Linux հարձակվող մեքենա։ Ինքնագնահատմամբ ներդրեք թույլ ACL-ներ կամ չսահմանափակված պատվիրակավորում, և քայլեք հարձակվողի ուղով՝ սկզբնական կախվածությունից մինչև դոմեյնի արտոնությունների բարձրացում, ապա փաստաթղթավորեք, թե ինչ կտեսներ կապույտ թիմը։

Կենտրոնացեք յուրաքանչյուր քայլի ինչու-ի վրա։ Գրավեք Sysmon-ի մատյաններ, Event Viewer-ի հետքեր և թեթև դետեկցիոն նշում՝ բացատրելով, թե որ հեռանկարն է հաստատել ներթափանցումը։ Ավարտեք մեկ էջանոց մեղմացման պլանով, որը կոփում է ինքնություններն ու ծառայությունները և կարգավորում պատվիրակման ուղիները։

Ինչ ցուցադրել՝ հարձակման ուղու սխեմա, հիմնական հրամանների կտորներ և կարմիր/կապույտ ժամանակագիծ։ Ընդգծելի արդյունք՝ ինչպես են սխալկազմավորումները մեծացրել ռիսկը և ինչպես ձեր շտկումները այն նվազեցրել։ Մենթորության համար կառուցման ընթացքում տեսեք Կիբերանվտանգության Բութքեմփ ծրագրերն ու աջակցությունը։

Նախագիծ 2․ Վեբ հավելվածի փենթեստ իրականիստ թիրախի վրա

Վերաբերվեք դիտավորյալ խոցելի հավելվածին որպես հաճախորդի ներգրավում։ Գրեք ներգրավման կանոնների փոքր փաստաթուղթ, ապա թեստավորեք կոտրված հասանելիության վերահսկում, ներդրում և ավթենտիկացման թուլություններ։ Շղթայեք ցածր արտոնությամբ ավթենտիկացման շրջանցումը անուղղակի օբյեկտների հղման խախտման հետ՝ հասնելու զգայուն տվյալների և պարզ ցույց տվեք բիզնես ազդեցությունը։

Յուրաքանչյուր գտածոն բացատրեք երկու մասով։ Նախ՝ հակիրճ տեխնիկական ամփոփում՝ հարցում/պատասխանի տարբերություններով և սանիտիզացված բեռներով։ Այնուհետև՝ բիզնես թարգմանություն, որը նշում է՝ ով կարող է վնասվել, ինչ կարող է կորչել և ինչպես է շտկումը փոխում ռիսկի դաշտը։

Ինչ ցուցադրել՝ կարճ ապացույց-հայեցակարգի GIF-եր, վերջնական առաջնայնացված շտկումների աղյուսակ և ապահով-լռելյայն կարգավորումներ։ Բոնուս՝ Համեմատեք ձեր մեղմացման խորհուրդները այն պրակտիկաների հետ, որոնք կսովորեք մեր Վեբ Ծրատվության Բութքեմփում, որպեսզի ավելի լավ համագործակցեք ինժեներների հետ։

Նախագիծ 3․ Անլար անվտանգության գնահատում վերահսկվող լաբորատորիայում

Կառուցեք անվտանգ անլար փորձադաշտ ձեր սեփական հասանելիության կետով և հաճախորդ սարքերով։ Վերանայեք WPA2/WPA3 կարգավորումները, փորձեք վերահսկվող չար երկվորյակ հարձակումը և ստուգեք՝ արդյոք EAP կարգավորումները կամ թույլ գաղտնաբառերը հեշտ հաղթանակներ են տալիս հարձակվողներին։

Ձեր հաշվետվությունը թող հաշվի առնի գործառնական իրականությունը։ Ընդգծեք իրավական շրջանակ, համաձայնություն և անվտանգության վերահսկումներ։ Տրամադրեք կարճ սեփականատիրոջ ուղեցույց, որը կարող է հետևել փոքր գրասենյակը՝ ուժեղ անցաբառեր, SSID-ների ճիշտ կառավարում, ֆիրմվերի թարմացումներ և հյուրային ցանցերի տարանջատում կարևոր համակարգերից։

Ինչ ցուցադրել՝ փաթեթների գրավումներ, գործիքների նշագրված էկրանակադրեր և հստակ մեղմացումների չեկլիստ։ Նպատակ՝ ցույց տալ, որ կարող եք գտնել խնդիրը, պարզաբանել այն և օգնել ոչ փորձագետներին առանց վախի շտկել։

Նախագիծ 4․ Ամպային IAM սխալկազմավորում և պահոցների բացահայտում

Ստեղծեք նվազագույն AWS կամ Azure հաշիվ և դիտավորյալ սխալ կազմավորեք մեկ պահոց և մի քանի IAM քաղաքականություն։ Թվարկեք ինքնությունները, գտեք բարձրացման ուղիներ և ցույց տվեք, թե ինչպես է նվազագույն արտոնությունների սկզբունքը կանխում զգայուն օբյեկտներին չնախատեսված հասանելիությունը։

Ցույց տվեք ամբողջ աղեղը՝ հայտնաբերումից մինչև պաշտպանություն։ Ներառեք քաղաքականությունների մինչեւ/հետո, տվյալ ծանրաբեռնվածության համար անհրաժեշտ նվազագույն թույլտվությունների հավաքածուն և փոքր սքրիպտ, որը ժամանակացույցով վերահսկում է շեղումները։ Տվյալները թող լինեն կեղծ, բայց իրատեսական, և խուսափեք ավելաշատ իրավասություններից հարմարավետության خاطر։

Ինչ ցուցադրել՝ ճարտարապետության և ազդեցության շառավղի սխեմաներ, հրամագծի հետքեր և նոր նախագծերի չեկլիստ։ Ընդգծելի արդյունք՝ հասկանում եք համատեղ պատասխանատվության մոդելը և կարող եք թիմերին ուղղորդել դեպի ավելի անվտանգ լռելյայններ։

ամպային-անվտանգություն-լաբ-փենթեստ-hy-750x500.webp

Նախագիծ 5․ Բջջային հավելումի տրաֆիկ և API անվտանգության վերանայում

Օգտագործեք ձեր վերահսկողության ներքո գտնվող դեմո հավելված՝ ուսումնասիրելու բջջայինից դեպի API հոսքը։ Կալանավորեք տրաֆիկը, գնահատեք թոքենների կառավարումը, փորձարկեք սահմանաչափերը և ID-ի կանխատեսելիությունը։ Վավերացրեք սերտիֆիկատի ամրացումը և ստուգեք՝ արդյոք զգայուն տվյալներին կարելի է հասնել օբյեկտի ID-ները փոխելով։

Պատմությունը ներկայացրեք օգտագործողի տեսանկյունից։ Ի՞նչ կարող է անել հարձակվողը առանց հավատարմագրման։ Ի՞նչ է փոխվում մուտքից հետո։ Որտե՞ղ են պահվում թոքենները և որքան՞ երկար են գործում։ Յուրաքանչյուր գտածոն կապեք կոնկրետ ծրագրավորողական գործողության հետ, օրինակ՝ ուժեղացված սերվերային ստուգումներ կամ կոփված պահպանում։

Ինչ ցուցադրել՝ հարցումների քարտեզներ, թոքենի կյանքի ցիկլի սխեմաներ և սահմանաչափերի թեստերի արդյունքներ։ Առաքելիք՝ API ռիսկերի ռեեստր՝ լրջությամբ, շահագործելիությամբ և շտկման կանխատեսվող ժամկետով, որպեսզի թիմերը կարողանան տեղեկացված փոխզիջումներ անել։

Նախագիծ 6․ Կոնտեյներված ստեք․ մատակարարման շղթայի և runtime-ի կոփում

Կազմեք փոքր հավելված՝ ֆրոնթէնդ, API և տվյալների բազա։ Սքանավորեք իմիջները հայտնի CVE-ների համար, գեներացրեք SBOM, ապա արգելափակեք runtime-ը seccomp կամ AppArmor պրոֆիլներով և հնարավորության դեպքում միայն-կարդա ֆայլային համակարգերով։ Փորձեք միայն լաբորատոր կոնտեյներից դուրս գալու փորձ և փաստաթղթավորեք՝ ինչն է կանգնեցնում ձեզ։

Խ桥 դրեք Dev-ի և Sec-ի միջև կարեկցանքով։ Բացատրեք, թե ինչպես պահել ծրագրավորողի արագությունը, միևնույն ժամանակ պահպանելով ծագումն ու քաղաքականությունը։ Գրավեք Docker Compose կամ Kubernetes մանիֆեստներում կատարված ճշգրիտ տարբերությունները, որպեսզի վերանայողները արագ վերարտադրեն արդյունքը։

Ինչ ցուցադրել՝ սկանավորման արդյունքներ համատեքստով, քաղաքականության հատվածներ և development-ից production կոփման չեկլիստ։ Արդյունք՝ ապացուցեք, որ կարող եք մտածել կառուցողի պես և ապահովել՝ հարձակվողի պես։

կոնտեյների-կոփում-seccomp-apparmor-hy-750x500.webp

Նախագիծ 7․ Հաշվետվության վարպետություն՝ գտածոյից մինչև խորհրդի համար պատրաստ պատմություն

Ընտրեք ձեր երկու-երեք ամենաուժեղ գտածոները և կազմեք փայլեցված հաշվետվությունների փաթեթ։ Սկսեք ղեկավարական ամփոփմամբ, որը պարզ լեզվով սահմանում է ռիսկը, շարունակեք վերարտադրելի տեխնիկական քայլերով և ավարտեք առաջնայնացման մատրիցով ու վերաթեստավորման նշումներով։

Հարգեք ընթերցողի ժամանակը։ Ամփոփումը պահեք մեկ էջ, կիրառեք հետևողական լրջության չափորոշիչներ և ցույց տվեք մինչեւ/հետո ապացույցներ, որոնք ակնհայտ են դարձնում առաջընթացը։ Ձեր գրաֆիկաները թող ընթեռնելի լինեն նոթբուքի վրա՝ առանց մոտեցման։

Ինչ ցուցադրել՝ սուղ PDF-ների կամ markdown էջերի փաթեթ, փոփոխությունների մատյան և հաստատված մեղմացման քայլեր։ Նպատակ՝ ցուցադրել հաղորդակցական հմտություններ, որոնք բացում են վստահություն, բյուջե և գործողություն։

Ինչպես փաթեթավորել պորտֆոլիոն, որպեսզի այն իսկապես կարդան

Կազմակերպեք ձեր GitHub-ը այնպես, ինչպես խորհրդատուն է կազմակերպում ներգրավումը։ Օգտագործեք վերին մակարդակի README, որը բացատրում է ձեր ֆոկուսը և հղվում յուրաքանչյուր նախագծին, իսկ յուրաքանչյուր նախագիծ պահեք ինքնաբավ՝ շրջանակ, մեթոդաբանություն, ապացույցներ և հաշվետվություն թղթապանակներով։ Ավելացրեք կարճ էթիկայի նշում և հեռացրեք ցանկացած զգայուն տվյալ։

Ապացույցը պահեք սեղմ և տեսանելի։ Կարճ տեսահոլովակը հաղթում է տեքստի պատին, մաքուր սխեման՝ հազար բառի։ Օգտագործեք հետևողական ֆայլանուններ, պատկերների alt տեքստ և ենթագրեր, որոնք դարձնում են ապացույցը արագ դիտարկելի զբաղված վերանայողների համար։

Ղեկավարվող փաթեթավորման, պորտֆոլիո-ի վերանայումների և փորձնական հարցազրույցների համար այցելեք մեր Կիբերանվտանգության Բութքեմփ։ Մենք կօգնենք խստացնել պատմապատումը նույնքան, որքան տեխնիկան, որպեսզի ղեկավարները հիշեն ձեր աշխատանքը։

Գործնական 4–6 շաբաթյա պլան

Շաբաթ 1-ին տեղադրեք ձեր AD լաբը, սահմանեք շրջանակը և վաղ սկսեք մատյանագրումը, որպեսզի կապույտ ապացույցը հարուստ լինի։ Շաբաթ 2-ին ավարտեք AD հարձակման ուղին, կազմեք մեղմացման նախագիծ և սկսեք վեբ հավելվածի թեստը՝ պահելով թափը տարբեր ոլորտներում։

Շաբաթ 3-ին փայլեցրեք վեբ հաշվետվությունը և ձեռնարկեք կամ անլարը, կամ բջջայինը՝ կախված հետաքրքրությունից և թիրախային պաշտոններից։ Շաբաթ 4-ին անցկացրեք ամպային IAM լաբը և պահոցին հանձնեք շեղումների վերահսկող սքրիպտերը, ապա Շաբաթ 5–6-ը փակեք կոնտեյների կոփման նախագծով և ձեր հաշվետվության վարպետություն փաթեթով։

Յուրաքանչյուր շաբաթ հրապարակեք կարճ թարմացում և հղեք այն README-ից։ Այս հաճախականությունը ցույց է տալիս կարգապահություն, հաղորդում է առաջընթաց և տալիս է ռիքրութերին վերադարձի պատճառ։

Ինչ են փնտրում ռիքրութերները և ինչպես եք դուք դա ապացուցելու

Նրանք ուզում են մեթոդ, ոչ թե գործիքներ․ դուք բացատրում եք՝ ինչու են քայլերը կարևոր, ոչ թե ինչ կոճակներ եք սեղմել։ Նրանք ուզում են ծայրից-ծայր մտածողություն․ դուք շղթայում եք խնդիրները բիզնես ազդեցության հետ և առաջարկում եք շտկումներ, որոնք իրականում նվազեցնում են ռիսկը։

Նաև ուզում են հաղորդակցություն․ դուք կարող եք 10-ին ծրագրավորողին, 16-ին՝ տնօրենին հաղորդել առանց հիմնական ուղերձը փոխելու։ Վերջապես, նրանք փնտրում են էթիկա․ դուք թեստավորում եք միայն այն, ինչ ձեզ է պատկանում կամ ինչի համար ունեք գրավոր թույլտվություն, և հարգում եք անվտանգ, օրինական սահմանները։

Ձեր հաջորդ քայլը․ կառուցեք կառուցվածքով, աշխատանքի անցեք ավելի արագ

Եթե լուրջ եք 2026-ին կիբերանվտանգություն մտնելու կամ ոլորտ փոխելու հարցում, կառուցեք մենթորությամբ, որը կկրճատի սովորելու ժամանակը և կմաքսիմալացնի վարձակալման ազդանշանները։ Համեմատեք ժամանակացույցերը, ֆինանսավորումը և կարիերային աջակցությունը մեր Կիբերանվտանգության Բութքեմփում կամ ուսումնասիրեք բոլոր Դասընթացները։

Կառուցեք նախագծեր, որոնք գործատուները ճանաչում են։ Պատմեք պատմություն, որը նրանք հիշում են։ Ապա այդ պատմությունը վերածեք ձեր առաջին առաջարկի՝ Code Labs Academy-ի կողքին։