"- mennyire kell pengének lenni programozásból? elég ha ismerek 1 prognyelvet és ezek mellett script nyelveket? (bash,python stb)"
Nem kell, de bizonyos aspektusai nagyon hasznosak. Juniorkent ez kb. azt jelenti, hogy meg tudd irni a sajat tooljaidat, vagy hozza tudj nyulni a meglevokhoz. Ez kulonosebben magasszintu fejlesztoi tudast nem igenyel.
A masik oldalrol viszont, ha tudod hogy a fejlesztok hogy gondolkodnak (pl. itt egy feature, ez valoszinuleg igy van implementalva, es tuti hogy elrontottak itt meg itt), ha tudod hogy hogy pontosan mukodik egy webes framework, egy appszerver, a JVM, egy hashtabla, egy operacios rendszer, mi az a paging, mire jo az SMAP, stb. az rendkivul hasznos a kesobbiekben (mas kerdes, hogy ezt onmagaban a fejlesztoi tapasztalat sem garantalja).
"- 4 év rendszergizdaság után mennyire hülye ötlet egy Junior It biztonsági pozira jelentkezni, amiben azt ígérik a log turkálás mellett, hogy sérülékenységvizsgálatot, illetve rendszerek analizálását is csinálod?"
"Karrierut szempontjabol" semennyire, minden komolyanveheto penteszter volt par evig rendszergazda (ha mashol nem, szabadidejeben a kolihalon). Hogy megeri-e, az attol fugg, hogy melyiket szeretned jobban csinalni.
"- mennyire kötelező MCSA,CCNA megléte?"
Semennyire. A cegek minden ilyesminek orulnek, mert neha vannak ajanlatkiirasok, ahol fel kell mutatni X db ilyen-olyan certtel biro embert, de a felvetelnel nem szamit.
"- milyen fizetésre számíthat az ember? 350 bruttó alatt nem nagyon szeretnék váltani"
A junior fizetesekkel nem annyira vagyok kepben, de ennel szvsz lehet tobbet kerni.
"Zsebből nem tenném ki az 500+áfa-s tanfolyamot + vizsgát, ezért keresek alternatív megoldásokat."
CEH-re ne menj, ido es penzpazarlas. Tenyleg. Juniorkent a fo skill amit neznek, az a webes blackbox teszt. SQLi-XSS-CSRF-session fixation-stb. temakornek nezz utana (az OWASP wikije jo kiindulopont), par alap toolt tanulj meg hasznalni (burp suite, nmap, sqlmap, dirbuster), csinalj CTF-eket (lehetoleg webeset, a binary ninja skill-ek jok, de a munka nagy resze sajnos nem az lesz), nyomkodd vegig a DVWA-t meg a gruyere-t, keress (es reportolj) vulnokat random Wordpress/Joomla pluginekben (ha a base-ben is talaltal, akkor mindenkepp kuldj CV-t! :) ). Normalis cegnel ha talaltal par igazi vulnt igazi szoftverben, az tobbet szamit mint barmilyen cert. Ja, es angolul tudni kell. Nem csak doksiolvasas szintjen, hanem tenyleg.
Amit meg erdemes tudni: a penteszt keves kiveteltol eltekintve altalaban consulting munkat jelent, ami magaval hoz nehany dolgot:
- utazas - nem minden munkat lehet megcsinalni tavolrol. Teljesen normalis dolog, hogy egy kollegat 2-3 hetig nem latunk az irodaban. Ha a cegnek nemzetkozi ugyfelkore van, ez sok esetben repulozest meg hotelben alvast is jelent, meg hogy max. hetvegere tudsz hazajonni.
- ugyfelek - tudni kell kommunikalni kell veluk, adott esetben angolul.
- hataridok - olyan, hogy egy projektre tul sok ido van, nem letezik. Nem tudom, hogy nalatok milyen a munkatempo, de ez valoszinuleg szorosabb lesz.
--
"You're NOT paranoid, we really are out to get you!"