faqs.tw 台灣生活常見問題

滲透測試工程師怎麼當?2026 紅隊、證照與薪資

合法地把一間公司的系統打穿,然後告訴他們怎麼補,這就是滲透測試工程師(Penetration Tester,俗稱 pentester)的工作。不是電影裡敲幾下鍵盤就入侵,而是有授權書、有範圍、有方法論的攻防演練。台灣在《資通安全管理法》上路後,公部門與關鍵基礎設施都被要求定期做滲透測試,這塊需求穩定成長。這篇整理勞動部薪資調查、資安署規範與國際證照資訊,談 pentester 怎麼入行、要考什麼證照、薪水落在哪。

滲透測試工程師實際在做什麼

滲透測試的核心是「模擬真實攻擊者,在被授權範圍內找出漏洞」。主要工作:

很多人想像這份工作整天在「駭」,實際上報告撰寫、溝通、重測佔了大量時間,技術破解只是其中一環。

pentest、紅隊、藍隊差在哪

資安攻防有不同角色,常被混淆:

角色 立場 主要工作
滲透測試 / 紅隊 攻擊方 模擬攻擊、找漏洞、驗證可利用性
藍隊(Blue Team) 防守方 偵測、防禦、事件應變(SOC、IR)
紫隊(Purple Team) 協作 紅藍協同,提升整體防禦
資安顧問 治理 合規、風險評估、制度建立

紅隊比一般滲透測試範圍更廣、更貼近真實攻擊、更強調「不被偵測」。許多 pentester 從一般 Web 滲透測試起步,往紅隊深化。

滲透測試工程師各年資薪資水準

以下為全職受僱 pentester 的月薪概估,依勞動部職類別薪資調查與 104 薪資公秤的資安職類整理。資安是高需求、高溢價領域,各年資、證照、地區、公司類型而異,請以最新調查為準:

年資 職級 月薪概估範圍 說明
0–2 年 初階滲透測試員 45,000–65,000 多由資安或開發轉入
2–5 年 滲透測試工程師 60,000–95,000 能獨立執行專案、寫報告
5–8 年 資深 / 紅隊 90,000–135,000 帶紅隊演練、複雜目標
8 年以上 顧問 / 團隊主管 120,000–180,000+ 帶團隊或接國際案

拉高薪資的因素:

因素 影響
國際證照 OSCP、OSEP 等實作型證照溢價明顯
攻擊面深度 雲端、Active Directory、行動裝置等專精領域稀缺
公司類型 資安顧問公司、外商、跨國案高於一般企業內部
Bug bounty 戰績 公開漏洞發現紀錄是有力佐證

資安人才在台灣供不應求,這也是 pentester 薪資相對其他資訊職位偏高的主因。

要考什麼證照

資安特別吃實作證照,含金量差異很大:

證照 性質 特色
CEH 知識型 入門概念廣,業界與公部門常見要求
OSCP 實作型 24 小時實機攻擊考試,業界高度認可
OSEP / OSWE 實作進階 紅隊、Web 進階滲透
CompTIA Security+ 基礎 資安通識打底

業界普遍認為 OSCP 這類「真的要打進去才能過」的實作證照,比純筆試證照更有說服力。但證照不是萬能,實戰能力與報告品質才是長期競爭力。

怎麼入行

滲透測試門檻偏高,常見兩條路:

  1. 從資安或網管轉入:先在藍隊、SOC、MIS 累積資安基礎,再往攻擊端轉。
  2. 從開發轉入:懂程式與 Web 運作的工程師,補上攻擊知識後轉做滲透測試,找漏洞時有底層理解優勢。

求職準備:

這行不適合誰

把法律邊界當灰色地帶。滲透測試必須有書面授權與明確範圍,越界就是犯法。對「未授權測試」抱僥倖心態的人,不只不適合,還會出大事。

不喜歡寫報告與溝通。技術破解只佔一部分,把漏洞講清楚、讓客戶願意修,是這份工作的真正價值。討厭寫文件的人會做得很痛苦。

受不了持續學習。攻擊手法、漏洞、防禦技術天天更新,停止學習很快就跟不上,這領域的學習壓力高於多數職位。

想要規律穩定。專案期常需配合客戶時段、加班測試,重大資安事件還要緊急應變,作息不一定規律。

常見問題

Q:沒有資安背景能直接當 pentester 嗎? A:很難一步到位。多數人先在藍隊、網管、SOC 或開發累積技術基礎,再轉攻擊端。建議從 Hack The Box、TryHackMe 等合法平台練起,搭配 OSCP 證照,比直接投履歷有效得多。實作能力是這行的硬門檻。

Q:CEH 和 OSCP 哪個比較有用? A:兩者定位不同。CEH 偏知識面、廣度,部分公部門標案會明列要求;OSCP 是實作型,要真的攻進靶機才能過,業界對技術能力的認可度更高。資源有限時,想進民間資安顧問公司多半建議優先攻 OSCP。

Q:滲透測試合法嗎? A:在有書面授權、明確範圍的前提下完全合法,這是專業服務。沒有授權的測試屬於《刑法》妨害電腦使用罪,會被追究刑責。合法 pentester 的每個專案都有合約與授權範圍書。

Q:台灣滲透測試的需求多嗎? A:穩定且成長。《資通安全管理法》要求公部門與關鍵基礎設施定期做資安檢測,加上企業數位化後資安意識提升,資安顧問公司、金融業、科技業對 pentester 的需求持續存在,人才相對稀缺。

資料來源

上述為公開統計、法規與證照資訊整理,數字隨調查年度與樣本變動,求職前請以各來源最新版本為準。

延伸閱讀

分享:

📖 延伸閱讀