Seguranca informacao
Carreira em Segurança da Informação
Baixar PDFCertificações (OSCP, CEH, CompTIA Security+), roadmap de carreira, monetização em bug bounty, comunidades e como se posicionar no mercado de cibersegurança.
Segurança da informação é uma das áreas com maior demanda e menor oferta de profissionais no mercado de tecnologia. Bug bounty é uma porta de entrada — mas o campo é muito mais amplo.
Roadmap de Carreira
Perfil: Bug Bounty Hunter (offensive security)
Iniciante (0-6 meses)
├── Fundamentos: redes, HTTP, Linux, SQL, JavaScript
├── Ferramentas: Burp Suite (Community), browser DevTools
├── Estudo: PortSwigger Academy (gratuita)
├── Prática: DVWA, Juice Shop, HackTheBox
└── Objetivo: Primeiro bug reportado (mesmo que informational)
Intermediário (6-18 meses)
├── Recon avançado: subfinder, httpx, nuclei
├── Vulnerabilidades: OWASP Top 10 completo
├── Prática: Programas públicos (HackerOne, Bugcrowd)
├── Especialização: web, API, ou mobile
└── Objetivo: $5.000+ em bounties, 10+ bugs triaged
Avançado (18+ meses)
├── Bug chaining, logic flaws, race conditions
├── Programas privados (invite-only)
├── Write-ups públicos e reputação
├── Especialização profunda (cloud, mobile, IoT)
└── Objetivo: $30.000+ por ano, top hunter em programasPerfil: Pentester profissional
Junior (0-2 anos)
├── Certificações: CompTIA Security+, eJPT
├── Skills: Nmap, Burp Suite, Metasploit básico
├── Experiência: CTFs, labs, estágio
└── Salário: R$4.000 — R$8.000/mês
Pleno (2-5 anos)
├── Certificações: OSCP, PNPT, CompTIA PenTest+
├── Skills: Active Directory, cloud pentest, web/mobile
├── Experiência: Engagements reais, relatórios
└── Salário: R$8.000 — R$18.000/mês
Senior (5+ anos)
├── Certificações: OSWE, OSEP, GXPN
├── Skills: Red team, exploit dev, code review
├── Experiência: Team lead, client management
└── Salário: R$18.000 — R$40.000+/mêsPerfil: AppSec Engineer
Junior
├── Skills: SAST/DAST tools, code review básico
├── Certificações: CompTIA Security+, CSSLP
└── Foco: Integrar segurança no SDLC
Pleno
├── Skills: Threat modeling, security architecture
├── Certificações: CISSP (associate), OSCP
└── Foco: Security champions, DevSecOps
Senior
├── Skills: Security strategy, compliance, risk
├── Certificações: CISSP, CCSP, CRISC
└── Foco: CISO track, security governanceCertificações
Por ordem de valor no mercado
| Certificação | Foco | Custo | Dificuldade | Valor no mercado |
|---|---|---|---|---|
| OSCP | Offensive security, hands-on | $1,599 | Muito alta | Máximo |
| OSWE | Web app security, code review | $1,599 | Alta | Muito alto |
| OSEP | Evasion, advanced pen testing | $1,599 | Muito alta | Muito alto |
| PNPT | Practical network pen testing | $399 | Alta | Alto (rising) |
| eJPT | Entry-level pen testing | $299 | Média | Bom para iniciantes |
| CompTIA Security+ | Fundamentos de segurança | $392 | Média | Requisito para muitos jobs |
| CompTIA PenTest+ | Pen testing prático | $392 | Média-alta | Bom |
| CEH | Ethical hacking (teórico) | $1,199 | Média | Decente (mas criticado) |
| CISSP | Gestão de segurança | $749 | Alta | Máximo (para management) |
| CCSP | Cloud security | $599 | Alta | Alto |
Recomendação de trilha
Para bug bounty hunters:
1. Nenhuma certificação é obrigatória
2. Mas OSCP ou PNPT abrem portas para jobs
3. Write-ups e hall of fame valem mais que certificações
Para pentester profissional:
1. CompTIA Security+ (fundamentos)
2. eJPT ou PNPT (prática inicial)
3. OSCP (padrão da indústria)
4. OSWE ou OSEP (especialização)
Para AppSec:
1. CompTIA Security+
2. OSWE (web app security)
3. CISSP (gestão)Monetização em Bug Bounty
Renda realista por nível
| Nível | Tempo investido | Renda mensal | Renda anual |
|---|---|---|---|
| Iniciante | 10-20h/semana | $100 — $500 | $1.200 — $6.000 |
| Intermediário | 20-40h/semana | $500 — $3.000 | $6.000 — $36.000 |
| Avançado | 40-60h/semana | $3.000 — $15.000 | $36.000 — $180.000 |
| Elite | Full-time | $10.000 — $50.000+ | $120.000 — $600.000+ |
Outras fontes de renda
| Fonte | Descrição | Potencial |
|---|---|---|
| Bug bounty | Encontrar vulnerabilidades | $0 — $500K+/ano |
| Write-ups | Blog, Medium, YouTube | $500 — $5.000/mês |
| Consultoria | Pentest freelance | $100 — $300/hora |
| Cursos | Criar conteúdo educacional | $1.000 — $50.000+/curso |
| Ferramentas | Vender scanners, templates | Variável |
| VDP bounties | Programas de vulnerabilidade disclosure | $100 — $10.000+ |
Comunidades
Discord servers
| Comunidade | Foco | Membros |
|---|---|---|
| nahamsec | Bug bounty | 50K+ |
| Bug Bounty Forum | Discussão geral | 30K+ |
| ProjectDiscovery | Tooling, recon | 20K+ |
| Intigriti | Bug bounty, CTF | 10K+ |
| STÖK | Content, hunting | 15K+ |
Twitter/X accounts para seguir
@NahamSec — tutorials e write-ups
@stokfredrik — bug bounty content
@jhaddix — recon e methodology
@rez0__ — cloud security e hunting
@alra3ees — methodology e write-ups
@0xInfection — web security
@filedescriptor — browser security
@PortSwiggerres — web security research
@samwcyo — bug bounty tips
@defparam — sqlmap e SQLiPlataformas de prática
| Plataforma | Foco | Gratuito? |
|---|---|---|
| PortSwigger Academy | Web security | Sim (labs) |
| HackTheBox | Pen testing | Parcial |
| TryHackMe | Iniciante-friendly | Parcial |
| PentesterLab | Web, dev | Parcial |
| DVWA | Vulnerabilidades básicas | Sim |
| Juice Shop | OWASP | Sim |
| WebGoat | OWASP | Sim |
| VulnHub | VMs vulneráveis | Sim |
| OverTheWire | Wargames | Sim |
| PicoCTF | CTF iniciante | Sim |
Posicionamento no Mercado
LinkedIn e GitHub
LinkedIn:
→ Headline: "Bug Bounty Hunter | AppSec | OSCP"
→ Featured: write-ups, hall of fame, projetos
→ Posts: vulnerabilidades encontradas (com permissão)
→ Conexões: recruiters de segurança, outros hunters
GitHub:
→ Repos de ferramentas customizadas
→ Scripts de automação de recon
→ Templates Nuclei personalizados
→ Write-ups em markdownConstruindo reputação
1. Escrever write-ups de bugs encontrados (com permissão)
2. Contribuir para ferramentas open-source (nuclei templates)
3. Participar de CTFs e rankear
4. Dar talks em meetups e conferências
5. Criar conteúdo educacional (blog, YouTube)
6. Mentoring de hunters iniciantesPlano de Estudo (90 dias)
Mês 1: Fundamentos
Semana 1-2:
→ HTTP, DNS, TCP/IP, Linux básico
→ SQL básico (SELECT, JOIN, WHERE)
→ JavaScript básico (DOM, fetch, cookies)
→ PortSwigger: SQL Injection, XSS labs
Semana 3-4:
→ OWASP Top 10 (leitura e labs)
→ Burp Suite: Proxy, Repeater, Intruder
→ DVWA: completar todas as vulnerabilidades
→ Primeiro CTF (PicoCTF ou OverTheWire)Mês 2: Ferramentas e Recon
Semana 5-6:
→ subfinder, httpx, nuclei, ffuf
→ Script de recon automatizado
→ Google Dorks, OSINT básico
→ PortSwigger: SSRF, IDOR, Auth labs
Semana 7-8:
→ Prática em programa público
→ Testar 3-5 subdomínios manualmente
→ Focar em um tipo de vulnerabilidade
→ Escrever primeiro reporte (mesmo que informational)Mês 3: Especialização
Semana 9-10:
→ Escolher especialização (web, API, mobile)
→ Estudo profundo da área escolhida
→ Análise de write-ups públicos (Hacktivity)
→ Bug chaining e lógica de negócio
Semana 11-12:
→ Aplicar em programas privados (se tiver reputation)
→ Escrever write-up do melhor bug
→ Publicar em blog/LinkedIn
→ Planejar próximo trimestreReferências
Reporting: como reportar vulnerabilidades
Estrutura de reporte, CVSS scoring, disclosure responsável, triage de bugs e como escrever write-ups que maximizam payout e reputação.
Glossário Startup
86 termos essenciais de startups organizados em 6 módulos: métricas, captação, produto, growth, equity e modelos de negócio.