Pentester – kim jest, ile zarabia, czym się zajmuje?

Pentester (penetration tester) to osoba, która legalnie „włamuje się” do systemów klienta, żeby znaleźć luki zanim zrobi to ktoś z gorszymi intencjami. W Polsce na B2B widełki w cyberbezpieczeństwie w 2025 r. często kręciły się wokół ~23,5–30,2 tys. zł netto (+VAT) miesięcznie, a na UoP ~20–25 tys. zł brutto (dla doświadczonych ról).

Pentester to taki „kontrolowany intruz” z papierami i zgodą. Dostajesz zakres (np. aplikacja webowa, sieć, chmura), reguły gry (co wolno, czego nie wolno), a potem sprawdzasz, czy da się:

• wejść bez uprawnień,

• podnieść uprawnienia,

• wykraść dane,

• przejąć konto,

• ominąć zabezpieczenia,

• i co najważniejsze: udowodnić to sensownie w raporcie, żeby ktoś mógł to naprawić.

W praktyce dzień pentestera to recon (zbieranie informacji), testy techniczne (np. Burp Suite, Nmap, testy logiki biznesowej), czasem exploit, a potem „najdroższa część pracy” czyli raport i omówienie z zespołem klienta.

Czym zajmuje się pentester?

Pentester sprawdza, czy systemy klienta da się obejść tak, jak zrobiłby to napastnik, tylko że w kontrolowanych warunkach i za zgodą. Celem nie jest „hakowanie dla sportu”, tylko znalezienie luk, pokazanie ich wpływu biznesowego i zaproponowanie naprawy. Typowy efekt pracy to raport z dowodami (kroki, zrzuty, logi), ocena ryzyka i rekomendacje.

(To jest praca techniczna, ale finalnie „sprzedajesz” zrozumienie ryzyka, nie exploit.)

Najczęstsze obszary:

• aplikacje webowe i API (logika, autoryzacja, sesje, podatności OWASP)

• sieci i infrastruktura (VPN, segmentacja, usługi, urządzenia)

• Active Directory i środowiska firmowe (uprawnienia, lateral movement)

• chmura (AWS/Azure/GCP), kontenery, CI/CD

• mobile (Android/iOS), czasem IoT

Umiejętności pentestera

Dobry pentester to nie tylko „haker z laptopem”. To połączenie solidnych podstaw technicznych, myślenia analitycznego, umiejętności biznesowych i zdrowej ciekawości świata. Narzędzia da się nauczyć, ale sposobu myślenia już nie tak łatwo.

Pentesting z boku wygląda jak klikanie w terminal i znajdowanie podatności w pięć minut. W praktyce to zawód, w którym większość roboty dzieje się w głowie, a nie w narzędziach. I właśnie dlatego zestaw umiejętności pentestera jest szerszy, niż wielu osobom się wydaje.

Fundamenty techniczne (bez nich ani rusz)

Na starcie potrzebujesz bardzo dobrego rozumienia tego, jak działa IT pod spodem. Nie „co kliknąć”, tylko dlaczego coś działa lub nie działa. Sieci komputerowe, systemy operacyjne, podstawy administracji, protokoły, DNS, HTTP, TLS. Bez tego pentest szybko zamienia się w zgadywankę.

Druga rzecz to programowanie i czytanie kodu. Nie chodzi o bycie full-time developerem, ale o swobodne poruszanie się w Pythonie, Bashu i przynajmniej jednym języku backendowym (często JavaScript, PHP lub Java). Pentester, który nie rozumie logiki aplikacji, zawsze będzie o krok za prawdziwym atakującym.

Myślenie ofensywne (czyli jak myśli napastnik)

To jest moment, w którym wiele osób odpada. Pentester musi myśleć niepoprawnie. Tam, gdzie system mówi „tego się nie da”, Ty pytasz „a co jeśli…”. Łączenie drobnych błędów w jeden realny scenariusz ataku to absolutny core tej pracy.

To też umiejętność zadawania dziwnych pytań systemowi. Co jeśli token nie wygaśnie. Co jeśli API ufa danym z frontu. Co jeśli użytkownik zrobi coś, czego projektant nie przewidział (spoiler: zawsze zrobi).

Obsługa narzędzi (ważne, ale wtórne)

Tak, musisz znać narzędzia. Burp Suite, Metasploit, Nmap, sqlmap, Nikto, narzędzia do fuzzingu, skanery, frameworki do AD, chmury i mobile. Ale to tylko narzędzia. Bez wiedzy i kontekstu są jak młotek w rękach kogoś, kto nigdy nie widział gwoździa.

Dojrzały pentester potrafi:

• dobrać narzędzie do celu, a nie odwrotnie

• zrozumieć false positive i false negative

• wyjść poza automaty i zrobić test ręcznie

Analityka i dokumentowanie (tu robi się „senior”)

Wynik pentestu nie trafia do innego pentestera. Trafia do klienta, zarządu, zespołu IT. Umiejętność analizy ryzyka i jasnego opisywania problemów to coś, co realnie odróżnia juniora od seniora.

Raport musi odpowiadać na pytania:

• co jest podatne

• jak to wykorzystać

• co realnie może się stać

• jak to naprawić bez rozwalenia systemu

Bez lania wody i bez straszenia hollywoodzkim „haker przejął wszystko”.

Soft skills, które robią różnicę

To brzmi banalnie, ale komunikacja jest kluczowa. Pentester często rozmawia z adminami, developerami, CISO, czasem z nietechnicznym managementem. Trzeba umieć mówić językiem odbiorcy.

Dochodzi do tego:

• umiejętność pracy pod presją czasu

• etyka i odpowiedzialność (masz dostęp do wrażliwych rzeczy)

• ciekawość i chęć ciągłej nauki, bo security starzeje się szybciej niż hardware

Ciekawostka z mojego życia

Najlepsi pentesterzy, jakich spotkałem, nie zaczynali od „chcę być pentesterem”. Zaczynali od adminowania, programowania, sieci, czasem od totalnego grzebania „bo mnie to ciekawiło”. Pentesting jest często naturalnym efektem tej drogi, a nie jej początkiem.

ile zarabia pentester?

W Polsce pentester najczęściej ląduje mniej więcej w widełkach ~12–21 tys. zł brutto/mies. na UoP (zależnie od poziomu), a na B2B realnie często widzisz na fakturze ~15–25 tys. zł+ netto, przy seniorach i “gorących” branżach nawet więcej. Globalnie (USA) mówimy raczej o poziomie ~116–205 tys. USD rocznie jako typowy przedział.

Polska (najprościej i najbardziej praktycznie)

UoP (brutto):

• Z danych SalaryExpert dla “penetration tester” wychodzi średnio ok. ~16,8 tys. zł brutto/mies., a orientacyjnie:
  • Junior (1–3 lata): ~11,9 tys. zł brutto/mies.
  • Senior (8+ lat): ~20,9 tys. zł brutto/mies.
• Warszawa bywa trochę wyżej (średnia ok. ~18,9 tys. zł brutto/mies. w podobnych estymacjach).
• Glassdoor dla Warszawy pokazuje “most likely range” ok. 11–22 tys. zł/mies. (traktuj to jako widełki z dość dużym szumem, ale kierunek się zgadza).

B2B (netto na fakturze):

• Raport testerzy.pl dla grupy “testerzy charakterystyk” (gdzie wpadają m.in. bezpieczeństwo/wydajność) podaje medianę ~16 250 zł netto B2B i średnią podobnej skali, z ogonem wyżej.
• W stricte cyber (szersza kategoria “specjalista od cyberbezpieczeństwa”) w 2025 pojawiają się widełki rzędu 21–27 tys. zł netto + VAT na B2B oraz 15–21,5 tys. zł brutto na etacie. Senior pentester w konsultingu/finansach często siedzi bliżej górnych widełek tej okolicy.

Stawki projektowe / “manday”:

• Firmy wyceniają dzień pracy pentestera orientacyjnie od 1200–1800 zł netto/dzień (prościej/ mniej doświadczony) do 2000–3500+ zł netto/dzień (eksperci, trudne tematy). To jest stawka “sprzedażowa” firmy, nie zawsze 1:1 to co bierze specjalista.

USA / rynek globalny (żeby mieć punkt odniesienia)

W USA Glassdoor pokazuje średnio ok. 153 tys. USD rocznie, a typowy przedział ~116–205 tys. USD (z topami wyżej). Coursera (na bazie danych Glassdoor) przytacza ok. 143 tys. USDjako średnią “total pay” w 2025.

Co najbardziej rusza pensję (i to czuć w ofertach)

Największe dźwignie to: portfolio realnych testów + raportowanie, certy (np. OSCP/OSWE/eWPTXv2 itp.), web + cloud + AD, oraz czy robisz konsulting (więcej kasy, więcej presji) czy wewnętrzny zespół (często stabilniej).

Jak wygląda praca pentestera?

Praca pentestera to nie tylko szukanie luk na ślepo. To skomplikowany proces, który zaczyna się od zdefiniowania celu testów. Następnie zbieramy informacje o systemie (faza rozpoznania). Potem następuje właściwa analiza i próba wejścia do systemu. Tu korzystamy z całej gamy narzędzi, od skanerów podatności, przez debuggery, po własnoręcznie pisane skrypty. Coraz częściej musimy brać pod uwagę nowe zagrożenia, takie jak deepfake.

Co ważne, pentester nie działa chaotycznie. Po ataku przygotowuje raport, który zawiera szczegółowy opis znalezionych podatności, rekomendacje i (co ważne dla klienta) wycenę koniecznych działań. W tym raporcie tłumaczę wszystko z technicznego na język zrozumiały dla managmentu – często trzeba zmienić sposób myślenia – ale trzeba patrzeć na cały obrazek, żeby nie zgubić z oczu sedna sprawy.

• Automatyzacja – wiele czynności można i trzeba zautomatyzować. Używam skanerów podatności, skryptów, frameworków – wszystko po to, aby w jak najkrótszym czasie sprawdzić jak najwięcej systemów. Pamiętajmy, że czas to pieniądz, a podatności, o których wiemy szybko, pozwalają uchronić się przed atakami.
• Manualne testy – Nie wszystko da się zautomatyzować. Czasami trzeba spojrzeć na problem z innej perspektywy, aby odkryć ukryte wady. Używam Burp Suite, Nmap, Metasploita – tych narzędzi jest na rynku multum. Ale to ty decydujesz jak ich użyć. Bo na końcu najważniejszy jest cel, jaki chcesz osiągnąć.
• Raportowanie – piszę dokładne raporty z przeprowadzonych testów. Dokładnie opisuje wszystkie znalezione luki, z poziomu technicznego, jak i z punktu widzenia biznesowego. Najczęściej dla firm to te drugie wnioski są najważniejsze. I na tym polega sztuka – trzeba umieć patrzeć z różnych stron. I jak to wszystko zebrać w całość? Zobacz jak w paru krokach opisuję to w tym przewodniku do bezpieczeństwa w sieci.

Pamiętam, jak zaczynałem… Wtedy, na studiach, hackowanie polegało na szukaniu prostych exploitów. Dziś to gra o znacznie wyższą stawkę. I choć wydawało mi się, że wiem już wszystko, to z każdym dniem pojawiają się nowe zagrożenia. Tak jak chociażby ransomware o którym ostatnio pisałem, a które staje się coraz bardziej wyrafinowane.

Etyka i prawo: chodzenie po cienkiej linii

Praca pentestera nie może opierać się na zasadzie “co nie jest zakazane, jest dozwolone”. Absolutnie. Etyka to podstawa. Musisz mieć pisemną zgodę na przeprowadzenie testów i bezwzględnie trzymać się ustalonego zakresu. Żadnych ataków “na próbę”, żadnych “przecieków” danych. Pamiętam przypadek, kiedy podczas testów sieci, z zaskoczeniem odkryliśmy błąd w firewallu, który dawał dostęp do prywatnych zdjęć.

Co z tym zrobiliśmy? Od razu poinformowaliśmy klienta, i to w odpowiedni sposób. To nie był powód do zabawy tylko bardzo ważny problem do rozwiązania. A tak poza tym – nie można bagatelizować nowych przepisów, które mają na celu podniesienie bezpieczeństwa w sieci – przeczytaj artykuł o MICA – rozporządzeniu na rynku kryptowalut w UE i w Polsce.

Jak zostać pentesterem?

Pentesterem zostajesz przez zbudowanie podstaw IT (sieci, Linux, web), potem praktykę na labach/CTF, napisanie raportów jak w prawdziwym audycie i dopiero na końcu certyfikaty plus portfolio na GitHub/Notion. Najszybsza ścieżka to: techniczne fundamenty → praktyka → raportowanie → pierwsze zlecenia/junior.

Pentester to w praktyce ktoś, kto umie „legalnie włamać się” do systemu, ale kluczowe jest to drugie 50% roboty: umie udowodnić ryzyko i opisać je tak, żeby firma mogła to naprawić (a nie tylko „mam shella, pozdro”). Więc ścieżka powinna prowadzić do umiejętności, a nie do kolekcji narzędzi.

1) Zbuduj fundamenty (bez tego wszystko będzie bolało)

Najważniejsze klocki:

• Sieci: TCP/IP, DNS, HTTP/HTTPS, różnica między L2/L3, NAT, firewalle, podstawy Wiresharka.

• Linux: pliki, uprawnienia, procesy, systemd, bash, podstawy administracji.

• Web: jak działa backend vs frontend, cookies, sesje, JWT, CORS, podstawy baz danych.

• Windows/AD (opcjonalnie, ale mega opłacalne): Active Directory, Kerberos, uprawnienia, podstawy PowerShell.

To jest ten etap, gdzie większość ludzi chce “przeskoczyć do hakowania”, a potem nie wie, czemu „to nie działa”. Działa. Tylko nie rozumiesz jeszcze, co widzisz.

2) Naucz się myślenia ofensywnego (metodyka > magia)

Nie uczysz się „hakowania stron”, tylko uczysz się procesu:

1. Rekonesans (co w ogóle istnieje)

2. Skanowanie i enumeracja (jakie usługi, wersje, konfiguracje)

3. Eksploatacja (czy da się wejść)

4. Eskalacja uprawnień (czy da się wejść głębiej)

5. Lateral movement (czy da się przeskoczyć dalej)

6. Dowody + raport (co znalezione, jak odtworzyć, jak naprawić)

Najlepszy „skill pentestera” to cierpliwe zadawanie systemowi dobrych pytań.

3) Praktyka w labach (tu rośnie prawdziwa kompetencja)

Twoje cele w labach nie powinny brzmieć “zrobić 50 boxów”, tylko:

• Umieć wyjaśnić, czemu exploit zadziałał

• Umieć powtórzyć atak bez tutoriala

• Umieć napisać raport do każdej dziury (nawet króciutki)

Platformy, które robią robotę: Hack The Box, TryHackMe, PortSwigger Web Security Academy (web), OverTheWire (Linux).

4) Naucz się raportowania (to Ci da pracę szybciej niż kolejny tool)

Firmy płacą za:

• jasny opis ryzyka (impact),

• kroki reprodukcji,

• rekomendację naprawy,

• priorytety (co pierwsze).

Zrób sobie nawyk: po każdym ćwiczeniu piszesz mini-raport. Serio. W rekrutacji to jest złoto, bo większość kandydatów ma „umiejętności”, ale nie potrafi ich sprzedać w formie raportu.

5) Zbuduj portfolio, które wygląda jak praca, nie jak hobby

Co warto mieć:

• 2–3 przykładowe raporty (zanonimizowane) w PDF/Notion

• GitHub: skrypty do automatyzacji (np. enum, parsowanie wyników), write-upy

• Krótki opis: „co testowałem, jakie klasy podatności, jak raportuję”

To ma pokazać, że jesteś użyteczny od pierwszego dnia.

6) Certyfikaty: dopiero kiedy wspierają Twoją ścieżkę

Jeśli celujesz w juniora:

• Web: eJPT (wejście), potem PNPT / OSCP (jeśli chcesz iść mocno w ofensywę)

• AppSec/web: rzeczy pod OWASP + PortSwigger robią często większą robotę niż papier

• Dla firm korporacyjnych czasem pomagają też “bardziej HR-owe” certy (ale technika i tak wygra)

Nie traktuj certów jako „klucza do pracy”. Traktuj je jako dowód, że już umiesz.

7) Pierwsze doświadczenie: najkrótsza droga do “komercji”

Ścieżki, które realnie działają:

• Bug bounty (dla nauki i portfolio, nie jako główne źródło kasy na start)

• Staże/junior pentester w firmach audytowych

• SOC/IT admin → pentest (mega częsta i sensowna trasa)

• Udział w community (Discordy, meetupy, CTF teamy) daje oferty częściej niż LinkedIn by się wydawało

Prosty plan na 12 tygodni (żeby to nie było “kiedyś”)

• Tydz 1–2: sieci + Linux (codziennie 60–90 min)

• Tydz 3–5: web podstawy + OWASP Top 10 + PortSwigger

• Tydz 6–9: HTB/THM (minimum 3 scenariusze tygodniowo) + notatki

• Tydz 10–12: 3 raporty do portfolio + 1 mały tool/skrypt + CV pod pentest

Na koniec powinieneś umieć wytłumaczyć: „jak dochodzisz do podatności i jak ją opisujesz”.

Na marginesie (bo to jest brutalnie prawdziwe): rekruterzy widzą tysiące osób, które “znają Kali”. Mało kto potrafi pokazać proces i raport. Jak to ogarniesz, nagle konkurencja robi się dużo mniejsza.

FAQ – Najczęściej zadawane pytania o pracy pentestera

Oto pytania, które najczęściej mi zadajecie i na które chcę odpowiedzieć:

• Czy pentester to to samo, co haker? Nie. Pentester to “dobry” haker, który działa legalnie i w celu zabezpieczenia systemów. Wiesz, nie każda firma potrzebuje na stałe pentestera.
• Czy muszę być programistą, żeby zostać pentesterem? Programowanie to pomocna umiejętność, ale nie jedyna konieczna. Trzeba mieć szeroką wiedzę techniczną i umiejętność analitycznego myślenia.
• Ile zarabia pentester? To zależy od doświadczenia, umiejętności, regionu i firmy. Ale powiem ci, w naszym kraju średnia roczna pensja doświadczonego pentestera oscyluje w okolicach 120-180 tys. złotych.
• Jakie studia wybrać, by zostać pentesterem? Najlepiej studia informatyczne ze specjalizacją z bezpieczeństwa, albo inne związane z sieciami komputerowymi. W tej branży wiedza teoretyczna bez praktycznego zastosowania nie wiele warta. Liczą się certyfikaty, umiejętności i referencje.
• Jak zacząć karierę jako pentester? Zacznij od nauki, buduj swoją wiedzę, testuj wirtualne środowiska, weź udział w Capture The Flag (CTF) – to bardzo popularne. Zapisz się na staż, nawet bezpłatny – nabranie doświadczenia jest tutaj na wagę złota.
• Czy to stresująca praca? Oj, czasem bardzo. Praca pod presją czasu, ciągłe “wyścigi” z hakerami – to jest chleb powszedni w tej robocie. Trzeba mieć nerwy ze stali. Ale… satysfakcja jest ogromna, gdy widzisz, że twoja praca ma realny wpływ na bezpieczeństwo cyfrowego świata.
• Czy przyszłość pentesterów jest bezpieczna? Patrząc na to, jak świat staje się coraz bardziej cyfrowy, jestem pewien, że tak. Im więcej technologii, tym więcej potrzebnych będzie osób, które ją zabezpieczają.
• Czy AI może zastąpić pentestera? Moim zdaniem AI to świetne wsparcie dla nas, nie zagrożenie. Narzędzia AI mogą pomóc w automatyzacji niektórych procesów, ale ludzkiej inteligencji i kreatywności nie da się tak łatwo zastąpić. Potrzebne będzie połączenie obu światów. Chociaż nie można wykluczyć, że kiedyś komputery kwantowe – które właśnie się rozwijają – zmienią całkowicie zasady gry. O tym też pisałem: komputer kwantowy – przełomowa technologia przyszłości.
• Czy warto się uczyć pentestingu? Zdecydowanie tak. Jest to wymagające, ale dające dużo satysfakcji zajęcie. Jeżeli lubisz wyzwania i chcesz być “dobrym” hakerem, to jest praca dla ciebie.
• Czy po 40 można zostać pentesterem? Tak! Nigdy nie jest za późno. Jeśli masz wiedzę i chcesz się rozwijać – wiek nie ma znaczenia. Nie znasz kogoś po 40-stce, kto potrafi nie gorzej od “młodego”? A tak, ja. Co więcej – każdy pentester musi wiedzieć co to jest atak DDoS i jak się przed nim bronić.

Podsumowanie – Przyszłość w rękach pentesterów

Praca pentestera to coś więcej niż tylko szukanie luk. To odpowiedzialność, etyka, ciągła nauka i adaptacja do zmieniającego się cyfrowego świata. To my jesteśmy na pierwszej linii frontu w walce o bezpieczeństwo systemów. Chociaż czasem to trudna praca, nie wyobrażam sobie robić czegoś innego.

Jeżeli czujesz, że cyberbezpieczeństwo to Twoja pasja i chcesz, by Twoja wiedza pomogła nam w bezpieczniejszym cyfrowym świecie – zacznij już dziś zdobywać wiedzę, szlifuj umiejętności, i nie bój się wyzwań. Wierzę w Ciebie, a może kiedyś spotkamy się na “szkoleniu” lub przy tym samym “biurku” – bo kto wie – przyszłość należy do nas, ludzi dbających o bezpieczeństwo cyfrowego świata! Pamiętaj, że pentester to nie tylko zawód, to pewien rodzaj misji. A misje, jak wiadomo, wykonuje się z pasją.