Первая в России ежегодная премия для пентестеров
Церемония награждения Pentest Award стала профессиональным праздником для пентестеров, престижным клубом для избранных, где каждый вносит вклад в развитие сообщества, делится уникальным опытом, получает колоссальное вдохновения и кучу новых рабочих инсайтов.
Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей. С помощью премии они могут заявить о своих достижениях, продемонстрировать таланты, получить признание и много подарков.
Таймлайн
прием заявок
30/06
1-7.07
голосование жюри
вручение премии
1.08
формирование
шорт-листа
шорт-листа
17-31.07
Таймлайн
вручение премии
1.08
1-7.07
голосование жюри
прием заявок
30/06
формирование
шорт-листа
шорт-листа
17-31.07
Таймлайн
вручение премии
уточняется
1-7.07
голосование жюри
прием заявок
30/06
формирование
шорт-листа
шорт-листа
17-31.07
прием заявок
30/06
1-7.07
голосование жюри
вручение премии
1.08
формирование
шорт-листа
шорт-листа
17-31.07
«Есть мнение, что серьезные и интересные кейсы, люди побояться отправлять из-за NDA. На практике мы видим множество крутых, полностью обезличенных работ, где заказчика невозможно идентифицировать. У кого-то, найденные уязвимости, уже исправили, поэтому они спокойно ими делятся. А вообще, интересны не сами чейны, а необычные подходы, ресерчи и методики. Никого не интересуют компании и бренды, герои этой премии — экспертные спецы, которым пора перестать быть „за кадром“ и начать праздновать свои достижения.»
Антон Лопаницын (bo0om) – исследователь информационной безопасности, известный блогер, победитель Pentest Award 2023.
В этой номинации нет привычных призовых мест — мы выбираем три самых поучительных примера, которые принесут максимум пользы сообществу. Победителям вручаются символические, но теплые подарки за вклад в коллективный опыт.
За самые ценные неудачи и полезные уроки в сфере ИБ. Кейсы, где что-то пошло не по плану: заваленный прод, неконтролируемая эскалация привилегий, случайное создание эксплоита с критическими последствиями и другие технические фейлы. Главное — не ошибка сама по себе, а те выводы, которые помогут другим не наступить на те же грабли.
За мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами. Включает в себя как традиционные смартфоны и планшеты. Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие: с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.
За выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
За мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.
Участникам номинации «Пробив WEB» будут доступны приватные программы на платформе BIZONE bug bounty, а победителям подарят проходки на OFFZONE.
За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в устройствах, их прошивках и протоколах, окружении и клиентском ПО. Включает в себя широкий спектр устройств: от сетевых устройств (роутеры, свитчи, IoT), до камеры, МФУ, и других устройств, работающих в корпоративных или домашних сетях, включая ТВ, колонки. Оценивается не только уровень критичности уязвимостей, но и глубина анализа взаимодействия устройства с внешними системами или клиентами.
За находку самых топовых логических баг.
За самый красивый обход средств защиты информации.
За нестандартные находки и открытия в области наступательной кибербезопасности, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ. Если ваш кейс не подходит под текущие категории, но заслуживает внимания — эта номинация для вас.
За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
Номинации
куратор номинации
пробив web
«Ловись рыбка»
Осторожно грабли
антиноминация
«**ck the logic»
пробив
инфраструктуры
инфраструктуры
«Раз bypass, два bypass»
Out of Scope
Девайс
куратор номинации
куратор номинации
Мобильный
разлом:
разлом:
от устройства до сервера
«Интересно было увидеть кейсы коллег, которые находят уязвимости нулевого дня или целенаправленно разрабатывают инструменты под свои пентест-проекты. Впечатлили победители в номинации „Девайс“ с RCE на популярных модемах, позволяющую выполнить произвольный код путем отправки специально сформированных SMS.»
Сергей Яшин (snovvcrash), рукoводитель Red Team Development Positive Technologies и автор блога Offensive Twitter, двукратный победитель Pentest Award 2023 и 2024
награды
жюри
Сергей Яшин (snovvcrash)
Павел Чернышев
Red Team Lead в ГК Совкомбанк. Около 10 лет в offensive ИБ. OSCP | OSCE | OSWP | OSEP | BSCP | CRTO | CRTL. Субкапитан команды DreamTeam (победители Standoff 2024) в направлении банковской инфраструктуры.
Исследователь информационной безопасности, известный блогер, победитель Pentest Award 2023
Рукoводитель Red Team Development Positive Technologies и автор блога Offensive Twitter, двукратный победитель Pentest Award 2023 и 2024
Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.
Павел Топорков
(Paul Axe)
(Paul Axe)
Антон Лопаницын (bo0om)
Никита Кузякин
Илья Карпов
Руководитель группы экспертизы безопасности АСУ ТП в BI.ZONE. Более 12 лет ищу уязвимости, участвую в аудитах и пентестах КИИ. Зарегистрировал более
300 CVE\BDU, топ-10 разных записей в рейтинге BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
300 CVE\BDU, топ-10 разных записей в рейтинге BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
Директор департамента информационной безопасности, Московский кредитный банк (Банк МКБ)
Head of triage BI.ZONE Bug Bounty
Lead Application Security Engineer at Yandex
Роман Шемякин
Вячеслав Касимов
Павел Шлюндин
10 лет опыта в пентесте и RedTeam. OSCP|LPT|OSCE old|OSWE|CRTE|OSED
Сооснователь Awillix, автор телеграм-канала Just Security.
Александр Герасимов
За 6 лет
существования компании
более 10 000
выявленных уязвимостей для разных российских компаний
Организатор премии
более 400
проектов провели по пентесту
Awillix — одна из лучших пентестерских компаний в РФ. Специализируемся на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры.
спонсоры
Сотрудники компании работают над масштабными и амбициозными задачами: развивают экосистему карты рассрочки «Халва», корпоративные платформы и приложения. В том числе разрабатывают передовые решения для защиты данных клиентов и банковских систем от киберугроз. Это включает использование современных методов шифрования, систем обнаружения и предотвращения вторжений (IDS/IPS) и других технологий безопасности.
В портфеле компании более 800 ИТ-проектов. Группа Совкомбанка активно сотрудничает с финтех-стартапами и ежегодно проводит собственный конкурс стартапов с призовым фондом 25 млн рублей. Идеи действительно внедряются в прод, а не лежат в бэклоге. Новые решения на постоянной основе масштабируются и внедряются в банковские процессы.
Совкомбанк Технологии входит в топ-5 лучших работодателей рейтинга «Хабр Карьера», а Совкомбанк — в топ-20 работодателей России по версии hh.ru.
Совкомбанк Технологии —
аккредитованная Минцифры ИТ-компания, входящая в финансовую Группу Совкомбанка, одного из крупнейших коммерческих банков России. В штате Совкомбанк Технологии более 5,5 тысяч специалистов.
аккредитованная Минцифры ИТ-компания, входящая в финансовую Группу Совкомбанка, одного из крупнейших коммерческих банков России. В штате Совкомбанк Технологии более 5,5 тысяч специалистов.
Сотрудникам Группы Совкомбанка доступны более 50 корпоративных программ: можно учиться в корпоративном университете, работать и отдыхать в коворкингах в Сочи и на Алтае, ездить в совместные путешествия с коллегами — за год сотрудник может успеть побывать на горнолыжном курорте, на берегу моря и в Китае.
свайпай вправо
Платформа BI.ZONE Bug Bounty — это 75 приватных и публичных программ, более 6000 багхантеров, выплаты в течение 30 часов и много-много приятных бонусов. Все просто: вы им — баги, они вам — деньги.
фидбэки участников
ответы на вопросы
Практика оценки квалификации по обезличенным отчётам существует с момента появления этичного хакинга и наша механика не нова. ИБ-компании всегда показывают примеры своей работы с помощью обезличенных отчетов. Это самый простой и распространенный способ оценить квалификацию исполнителя. У Offensive Security отчёт вообще размещен на сайте. При приеме на работу всегда просят привести пример самого интересного похека.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
1. Полнота описания: повествование развёрнуто, описаны контекст и вводные, есть пример эксплуатации, есть скрины и пруфы наличия уязвимостей.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Заявка — это ваш рассказ о лучшем проекте в свободной форме. Речи не идет о раскрытии эксплоитов, любые шаги в цепочке эксплуатации полностью анонимны, детали могут быть скрыты, важен сам подход и идея.
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
>> ПОСМОТРЕТЬ ПРИМЕР ПОДАЧИ ЗАЯВКИ <<
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
>> ПОСМОТРЕТЬ ПРИМЕР ПОДАЧИ ЗАЯВКИ <<
С момента отправки ваш кейс участвует в конкурсе. Жюри оценивают работы в два этапа. Если ваша работа попадает в шорт-лист, организаторы напишут вам и пригласят на церемонию награждения, поэтому корректно пишите контакт для связи! Заявки без контакта для связи аннулируются.
Мы решили не ограничивать участников сроками давности кейсов, которыми они гордятся, чтобы у всех была возможность проявить себя. Это условие может измениться в будущем. Помните, что шансы удивить жюри и получить больше баллов, возрастают, если демонстрировать актуальные и полезные навыки и знания.
Да. Ограничений по количеству заявок нет. Но премия не предусматривает награду за количество, поэтому рекомендуем сделать упор на качество.
Да, сделайте отметку в тексте о том, в какие номинации вы подаете работу, либо мы решим это за вас.
Если остались вопросы, пишите @popsa_lizaa
Закрытая вечеринка церемонии награждения для тех, кто попал в шорт-лист
Количество номинаций для участия не ограничено