How to Become a Pentester

Perché Diventare Pentester?

Il pentesting è una delle carriere più emozionanti e gratificanti nella cybersecurity. Vieni pagato per pensare come un hacker, violare sistemi legalmente e aiutare le organizzazioni a rafforzare le loro difese prima che i veri attaccanti trovino debolezze.

Cosa rende questo ruolo attraente:

• Alta domanda: Ogni organizzazione ha bisogno di test di sicurezza
• Apprendimento continuo: Nuove vulnerabilità e tecniche mantengono il lavoro stimolante
• Lavoro d'impatto: Previeni direttamente violazioni di dati e incidenti di sicurezza
• Sfida intellettuale: Ogni ingaggio è un puzzle unico da risolvere
• Compenso solido: Il pentesting è tra i ruoli meglio pagati nella cybersecurity

Cosa Fa Realmente un Pentester?

Come Pentester, simuli attacchi reali per trovare vulnerabilità prima che lo facciano gli attori malevoli. Un ingaggio tipico include:

• Ricognizione: Raccogliere informazioni sul target attraverso OSINT, enumerazione DNS e network scanning
• Scoperta Vulnerabilità: Identificare debolezze in reti, applicazioni e sistemi
• Sfruttamento: Sfruttare vulnerabilità in modo sicuro per dimostrare l'impatto reale
• Post-Exploitation: Simulare movimento laterale, escalation dei privilegi ed esfiltrazione dati
• Reporting: Documentare le scoperte con chiare raccomandazioni di remediation

Tipi di Pentesting

Diversi ingaggi si concentrano su diverse aree:

Competenze che Ti Distinguono

Padronanza Tecnica

1. Competenza Linux: Kali Linux è il tuo sistema operativo principale. Padroneggia la linea di comando, il filesystem e i tool di sicurezza comuni.

2. Networking in Profondità: Comprendi TCP/IP a livello di pacchetto. Sappi come analizzare il traffico di rete, pivotare tra subnet e identificare misconfiguration.

3. Sicurezza Web Application: La maggior parte del pentesting coinvolge web app. Padroneggia le vulnerabilità OWASP Top 10, bypass di autenticazione e attacchi injection.

4. Active Directory: La maggior parte delle aziende funziona su AD. Capire Kerberos, attacchi di delega e misconfiguration AD è cruciale per valutazioni interne.

5. Scripting e Automazione: Python, Bash e PowerShell ti permettono di scrivere exploit personalizzati, automatizzare la ricognizione ed estendere tool esistenti.

La Mentalità dell'Hacker

Oltre alle competenze tecniche, i pentester di successo condividono tratti chiave:

• Curiosità: Chiedere sempre "e se?" ed esplorare percorsi inaspettati
• Persistenza: Passare ore su una singola vulnerabilità senza arrendersi
• Creatività: Trovare catene di attacco non convenzionali che i tool automatizzati mancano
• Approccio metodico: Seguire una metodologia sistematica rimanendo adattabile

Il Percorso di Certificazioni

Livello Entry: Costruire le Basi

eJPT (eLearnSecurity Junior Penetration Tester)

• Esame pratico e hands-on
• Ottima prima certificazione
• Costruisce fiducia nella metodologia

CompTIA PenTest+

• Vendor-neutral
• Copre metodologia e compliance
• Buona per ambienti DoD

PNPT (Practical Network Penetration Tester)

• Accessibile ($399)
• Ambiente lab AD reale
• Esame pratico di 5 giorni

Livello Intermedio: Lo Standard dell'Industria

OSCP (Offensive Security Certified Professional)

• Lo standard d'eccellenza per i pentester
• Esame pratico di 24 ore
• Dimostra capacità reale di hacking
• Spesso richiesto per ruoli senior

Livello Avanzato: Specializzazione

Scegli in base alla tua area di focus:

• OSWE: Sicurezza web application
• CRTO: Operazioni red team con framework C2
• OSEP: Tecniche avanzate di evasione
• GPEN/GWAPT: Certificazioni GIAC per ambienti formali

Costruire il Tuo Portfolio

Dato che il pentesting si basa sulle competenze, dimostrare la capacità è cruciale:

Competizioni CTF

• Compete su piattaforme come CTFtime
• Documenta le tue soluzioni e metodologie
• Le competizioni di team mostrano competenze di collaborazione

Bug Bounty Hunting

• Esperienza reale nel trovare vulnerabilità
• Riconoscimento pubblico su HackerOne/Bugcrowd
• Scoperte reali dimostrano capacità

Home Lab

• Costruisci reti vulnerabili per praticare
• Documenta catene di attacco e tecniche
• Crea ambienti AD realistici

Scrittura Tecnica

• Scrivi post di blog che spiegano vulnerabilità
• Crea writeup CTF
• Condividi progetti di sviluppo tool su GitHub

La Ricerca del Lavoro

Punti di Ingresso

Pentester Junior

• Supporta i tester senior
• Concentrati su tipi specifici di valutazione
• Impara metodologia e reporting

Vulnerability Analyst

• Esegui scan di vulnerabilità
• Triage e valida le scoperte
• Ponte verso test pratici

SOC Analyst con Interesse Offensivo

• Costruisci prima esperienza difensiva
• Passa al pentesting dopo
• Capisci cosa vedono i difensori

Dove Trovare Lavoro

• LinkedIn (filtra per "penetration tester," "security consultant")
• InfoSec Jobs, CyberSecJobs
• Pagine carriere aziendali (NCC Group, Bishop Fox, CrowdStrike)
• Conferenze di sicurezza (bacheche lavoro, networking)
• Le società di consulenza spesso assumono su larga scala

Sfide Comuni

Sindrome dell'Impostore

Il problema: Sentire di non sapere abbastanza rispetto ai tester senior. La soluzione: Tutti iniziano da qualche parte. Concentrati sui fondamenti, documenta il tuo apprendimento e abbraccia la natura di apprendimento continuo della sicurezza.

Sovraccarico di Informazioni

Il problema: Troppi tool, tecniche e percorsi di attacco da imparare. La soluzione: Padroneggia un dominio prima di espanderti. Inizia con pentesting di rete o web, mettiti a tuo agio, poi ramifica.

Limiti Etici

Il problema: Capire cosa è legale ed etico. La soluzione: Ottieni sempre autorizzazione scritta. Nel dubbio, chiedi. Costruisci una forte etica professionale dal primo giorno.

Progressione di Carriera

Il pentesting offre molteplici percorsi di crescita:

Track Tecnico

• Pentester Junior → Pentester Senior → Lead Pentester → Principal Consultant

Specializzazione

• Red Team Lead: Focus su simulazione avversari
• Exploit Developer: Crea exploit e tool personalizzati
• Application Security Specialist: Expertise profonda web app

Management

• Security Consulting Manager: Guida team di pentesting
• Offensive Security Director: Strategia e costruzione team

Un Ingaggio di Pentest Tipico, Ora per Ora

Un pentest esterno standard dura dai cinque ai dieci giorni lavorativi. Il giorno uno inizia con una call di kickoff dove si confermano scope, range IP, domini in scope, contatti di escalation e regole di ingaggio. A metà mattina stai già eseguendo ricognizione passiva (Amass, Subfinder, crt.sh, Shodan) seguita da enumerazione attiva con Nmap, service detection e version scan. I giorni due e tre si concentrano sulla validazione delle vulnerabilità, sondaggio manuale della superficie d'attacco e sfruttamento dei percorsi pre-autenticati. I giorni quattro e cinque includono spesso pivoting interno, enumerazione Active Directory con BloodHound e catene d'attacco che dimostrano impatto di business. Gli ultimi due giorni sono dedicati alla scrittura del report, alla prova di ogni finding con screenshot e passi di riproduzione, e alla preparazione del debrief.

Le metodologie guidano ogni passo. PTES (Penetration Testing Execution Standard) copre pre-engagement, intelligence gathering, threat modeling, analisi delle vulnerabilità, sfruttamento, post-exploitation e reporting. OWASP WSTG (Web Security Testing Guide) fornisce la checklist per gli assessment web. NIST SP 800-115 è il riferimento formale che molti clienti regolati (banche, sanità, pubblica amministrazione) richiedono di citare nel SOW. Il lavoro mobile segue OWASP MASVS e MSTG. Sapere quale framework si aspetta il cliente è metà della professionalità.

Black Box, White Box e Grey Box: Cosa Richiede Ogni Tipo

Il tipo di ingaggio determina quante informazioni ricevi prima dei test e modella direttamente il tuo approccio.

Black Box. Ricevi solo il nome del target o un breve elenco di asset pubblici. Simula un attaccante esterno senza conoscenza preliminare. Molto tempo in recon, minore profondità di copertura. Comune in infrastruttura esterna e due diligence pre-acquisizione.

Grey Box. Ricevi informazioni parziali: credenziali utente standard, diagrammi di rete o documentazione API. Bilancia realismo e copertura. La maggior parte dei pentest interni e delle web app autenticate è grey box. È il punto di equilibrio per fornire valore in 5-10 giorni.

White Box (Crystal Box). Ricevi codice sorgente, diagrammi di architettura, credenziali admin e documentazione completa. Si usa per revisioni assistite da codice sorgente, lavoro stile OSWE e revisioni ad alta sicurezza di applicazioni critiche. I finding tendono a essere più profondi perché puoi tracciare il flusso dei dati end to end.

La maggior parte dei clienti compra ingaggi grey box. Fornire risultati significativi in white box è ciò che separa i tester senior dagli intermedi.

La Sequenza Moderna di Lab: Da Zero a Pronto al Lavoro

Il percorso 2026 che i recruiter rispettano davvero, in ordine:

1. TryHackMe Pre-Security e Cyber Security 101. Fondamenti gratuiti, riga di comando, ripasso di networking.
2. HTB Academy CPTS path. Circa 200 ore di lab guidati che coprono web, AD, privilege escalation Linux/Windows e reporting. L'esame CPTS è pratico di 10 giorni.
3. PortSwigger Web Security Academy. Gratuito, di livello mondiale. Completa tutti i lab Apprentice e Practitioner prima di qualsiasi cert web.
4. OffSec Proving Grounds Practice. Lab in abbonamento di macchine in stile OSCP. Punta a risolverne più di 40 prima di un tentativo.
5. OSCP. 24 ore di pratica, poi 24 ore per il report. Baseline di credibilità hands-on dell'industria.
6. Fase di specializzazione. OSWA o BSCP per il web, OSEP per evasion e AD, CRTO o CRTP per il red team.

Questa sequenza costa meno di un singolo semestre universitario e produce un portfolio che gli hiring manager possono verificare.

La Scala di Certificazioni Che i Recruiter Leggono Davvero

I recruiter europei filtrano i CV per stack di certificazioni. La scala realistica:

• Fondamenti: Security+, Network+, eJPT.
• Ingresso pratico: PNPT, CompTIA PenTest+, HTB CPTS.
• Standard d'industria: OSCP. La cert più richiesta negli annunci di pentest UE.
• Specializzazione: OSWA o BSCP (web), OSEP (AD avanzato ed evasion), OSWE (white box web).
• Red team: CRTP, CRTO, CRTE.

CEH compare frequentemente in gare pubbliche e di grande impresa, soprattutto in Italia e Spagna, anche se la community tecnica considera OSCP più rigorosa. È utile averla nel CV quando si punta alla consulenza nel settore pubblico italiano.

I percorsi di transizione più comuni sono documentati nel nostro pathway da Security+ a OSCP e nel pathway da SOC analyst a pentester.

Active Directory: La Competenza Più Pagata nel 2026

Gli ingaggi di pentest interno nelle aziende europee sono dominati dal lavoro su Active Directory. Circa il 90% degli ambienti corporate si appoggia ancora ad AD come backbone di identità, e le misconfiguration abbondano. Le competenze che pagano i tariffari giornalieri più alti:

• Abuso di Kerberos: Kerberoasting, AS-REP roasting, delegazione vincolata e non vincolata.
• Analisi di percorsi ACL con BloodHound e SharpHound.
• Credential access via Mimikatz, Rubeus ed estrazione DPAPI.
• Attacchi cross-domain e cross-forest trust.
• Padronanza di Impacket, CrackMapExec/NetExec, Certify, Certipy e PowerView.
• Sfruttamento delle misconfiguration ADCS (ESC1 fino a ESC11).

Un junior che dimostra un percorso pulito da BloodHound a Domain Admin sui Pro Lab di HTB (Offshore, RastaLabs, Dante) segnala più capacità di un candidato con tre certificazioni e zero evidenza pratica su AD.

Metodologia di Pentest delle Applicazioni Web

Un test web ripetibile segue OWASP WSTG e PTES, mappato sulle fasi NIST SP 800-115 quando il cliente è regolato.

1. Information gathering. Mappatura della superficie applicativa, identificazione dei framework, stack tecnologico (Wappalyzer), spider autenticato e non autenticato.
2. Configuration e deployment review. Postura TLS, header, file di default, interfacce admin.
3. Identity management. Provisioning account, registrazione, vettori di enumerazione.
4. Authentication. Trasporto credenziali, protezione brute force, flussi di reset password.
5. Session management. Attributi cookie, fixation, invalidazione al logout.
6. Authorization. Controllo accessi verticale e orizzontale, IDOR, accesso a livello di funzione.
7. Input validation. Injection (SQL, NoSQL, command, template), XSS (stored, reflected, DOM), SSRF.
8. Business logic. Abuso di workflow, race condition, manipolazione di parametri.
9. Client-side. Abuso di postMessage, client storage, prototype pollution.
10. API testing. OWASP API Top 10, introspection GraphQL, broken object property level authorization.

Tooling: Burp Suite Pro è lo strumento quotidiano. Aggiungi ffuf o feroxbuster per content discovery, sqlmap per SQLi confermate, Nuclei per check templated e httpx per triage su scala. Il lavoro è manuale al 70%, gli strumenti amplificano, non sostituiscono.

Scrittura del Report: La Competenza Che Separa il Pass dall'Assunzione

La brillantezza tecnica senza un report pulito non si paga. Il report è il deliverable che il cliente compra. Un buon report di pentest include:

• Executive summary in linguaggio chiaro con una pagina di panorama del rischio.
• Scope e metodologia, comprese le date, gli asset testati e le esclusioni.
• Finding con CVSS 4.0, business impact, passi di riproduzione, evidenze e remediation.
• Raccomandazioni strategiche oltre i fix per singolo finding (architettura, processo, formazione).
• Appendice tecnica con output raw e IoC per la blue team.
• Sezione retest, dato che la maggior parte dei contratti include uno o due retest dopo la remediation.

I recruiter di NCC Group, IOActive, Bishop Fox, Mediaservice.net, IMQ Minded Security e HWG Sababa chiedono frequentemente un report di esempio sanitizzato. Costruiscine uno a partire da una box TryHackMe o HTB. Trattalo come un asset di portfolio.

Il Lato Business: Scoping, SOW e NDA

Il pentesting è lavoro di consulenza. Dal primo giorno nel ruolo sarai esposto a:

• Call di scoping. Tradurre le preoccupazioni di rischio del cliente in asset testabili. Definire cosa è dentro e cosa fuori dallo scope. Negoziare tempi e vincoli.
• Statement of Work (SOW). Documento legale che definisce scope, deliverable, date, tariffe e limitazioni di responsabilità.
• Regole di ingaggio (RoE). Cosa puoi fare, quando e contro cosa. Sempre per iscritto, sempre firmate.
• Accordo di non divulgazione (NDA). Standard. Vedrai l'interno di sistemi di cui non potrai mai parlare pubblicamente.
• Get Out of Jail Letter. Autorizzazione scritta per assessment fisici. Da portare con sé durante l'ingaggio.
• On-site vs remoto. Gli assessment interni possono richiedere presenza presso gli uffici del cliente, soprattutto nei settori regolati. La maggior parte del lavoro esterno è completamente da remoto.

I junior pentester imparano questo facendo shadowing dei consulenti senior. Lavorare in autonomia senza questa disciplina è il modo in cui certe carriere finiscono in tribunale.

Realtà Salariale in UE e in Italia

Gli stipendi dei pentester in UE variano per paese, dimensione della consulenza e specializzazione. Il mercato italiano è particolarmente attivo: il termine pentester registra circa 5.400 ricerche mensili in Italia, segnale di una domanda molto forte di professionisti locali. Range realistici 2026 per ruoli a tempo indeterminato:

Le grandi consulenze (NCC Group, Mandiant, IOActive, Bishop Fox in uffici EMEA) pagano nella parte alta. La consulenza per pubblica amministrazione e grandi tender (Leonardo, Almaviva, Engineering, TIM Enterprise, Reply) paga leggermente meno ma offre contratti stabili e accesso a progetti regolati. I freelance con OSCP e OSWE fatturano dai 700 ai 1.300 EUR al giorno in Italia, fino a 1.500 EUR su clienti enterprise. Le città principali sono Milano, Roma, Torino e Bologna, ma il lavoro remoto è ormai prassi consolidata anche nel settore offensivo.

Come il Bootcamp di Unihackers Mappa Su Questo Ruolo

Il Bootcamp di Cybersecurity di Unihackers è strutturato per produrre analisti di sicurezza pronti al lavoro. La track offensiva (moduli m9 e m10 del curriculum) costruisce la base che un pentester junior necessita:

• Lab di sfruttamento di rete e web allineati a OWASP WSTG e PTES.
• Catene di attacco Active Directory in un lab di dominio.
• Workflow con Burp Suite, Nmap, Metasploit, BloodHound e Impacket.
• Scrittura di report con template di consulenze reali.

Il programma è pensato per chi cambia carriera senza esperienza IT pregressa, e la pagina degli stipendi dettaglia la retribuzione realistica post-bootcamp per ruoli offensivi entry-level.

Iniziare Oggi

Se sei impegnato a diventare Pentester:

1. Inizia dai fondamenti: Assicura solide competenze di networking e Linux
2. Crea un account TryHackMe: Inizia con room per principianti
3. Configura un home lab: Pratica in un ambiente sicuro
4. Punta a eJPT o PNPT: Ottieni la tua prima certificazione pratica
5. Documenta tutto: Fai blogging del tuo percorso di apprendimento
6. Unisciti alla community: Server Discord, community security su Twitter/X

Il percorso è impegnativo ma realizzabile. Le organizzazioni hanno disperatamente bisogno di hacker etici per trovare vulnerabilità prima dei criminali. Il tuo futuro team ti sta aspettando.