Первая в России ежегодная премия для пентестеров
Первая в России ежегодная премия для пентестеров
Цель премии — отметить заслуги пентестеров, поднять боевой дух, показать, что рынок заинтересован и высоко оценивает их навыки, а также создать пространство для обмена уникальным опытом и улучшить общий уровень компетенций специалистов.
ТАЙМЛАЙН
прием заявок до
голосование жюри
формирование шорт-листа
вручение премии
НОМИНАЦИИ
пробив инфраструктуры
за выдающиеся достижения в области тестирования на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе этой номинации — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Пробив WEB
за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.
пробив web
Куратор номинации
пробив инфраструктуры
Куратор номинации
**ck the logic
За находку самых топовых логических баг.
**ck the logic
Дивайс
За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая, но не ограничиваясь, контроллерами, мобильными устройствами, банкоматами, камерами, МФУ и так далее.
Дивайс
ловись рыбка
За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
Ловись рыбка
Раз bypass, два bypass
За самый красивый обход средств защиты информации.
Раз bypass, два bypass
НАГРАДЫ ДЛЯ КАЖДОЙ НОМИНАЦИИ
ЖЮРИ
ИЛЬЯ КАРПОВ
Руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в Национальном киберполигоне. Зарегистрировал более
300 CVE, топ-5 BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
300 CVE, топ-5 BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
Павел Топорков (Paul Axe)
Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack
Вячеслав Касимов
CISO в МОСКОВСКОМ КРЕДИТНОМ БАНКЕ — ТОП-10 Банков в РФ и входящий в перечень системно-значимых. Последние 15 лет работал на позициях CISO в крупнейших банках России и НСПК. Адепт риск-ориентированного подхода в построении информационной безопасности и использования в работе лучших мировых практик. Имеет большой опыт построения практической информационной безопасности с нуля, проектирования комплексных систем информационной безопасности, антифрода и отражения таргетированных атак.
Михаил Сидорук
Руководитель управления анализа защищенности, BI.ZONE
Дмитрий Морев
Директор по информационной безопасности ”RuStore”. Больше 15 лет в ИБ. Основное направление AppSec и безопасность инфраструктуры.
Антон Лопаницын
(bo0om)
(bo0om)
исследователь информационной безопасности и блогер
РОМАН ШЕМЯКИН
Lead Application Security Engineer at Yandex
СЕРГЕЙ КУЗМИНОВ
Руководитель отдела тестирования на проникновение и RedTeam BI.ZONE
Павел Никитин
во главе команды Red & Purple Team оценивает и улучшает защищенность инфраструктуры VK. Более 10 лет в индустрии информационной безопасности, проверял на прочность системы ОПК, банков и различных коммерческих организаций.
Александр Герасимов
Сооснователь Awillix, автор телеграм-каналаJust Security.
Вадим Шелест
Руководитель группы анализа защищенности в Wildberries. Более 12 лет в пентестах. Автор многочисленных статей на тему практической ИБ, спикер международных конференций и ИБ митапов. Автор телеграм-канала PurpleBear.
Роман Панин
руководитель направления Архитектуры ИБ в МТС и автор телеграм-канала «Пакет Безопасности»
ОРГАНИЗАТОР ПРЕМИИ
Awillix — одна из лучших пентестерских компаний в РФ. Специализируемся на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры.
более 400
проектов провели по пентесту
более 10 000
выявленных уязвимостей для разных российских компаний
За 5 лет
существования компании
СПОНСОРЫ
VK — крупнейшая российская технологическая компания, которая одной из первых в России начала платить внешним исследователям безопасности за найденные уязвимости. В 2024 году VK переосмыслила общепринятый в индустрии подход к выплатам, отказавшись от фиксированных максимальных сумм и внедрив механизм Bounty Pass.
Платформа BI.ZONE Bug Bounty — это 75 приватных и публичных программ, более 6000 багхантеров, выплаты в течение 30 часов и много-много приятных бонусов. Все просто: вы им — баги, они вам — деньги.
победителям билеты
на OFFZONE
на OFFZONE
СПОНСОР ПРЕМИИ
OFFZONE — конференция по практической безопасности. С 2018 года объединяет более 3000 специалистов по кибербезу, разработчиков, инженеров, исследователей, преподавателей и студентов со всего мира. Здесь можно отбросить все формальности и круто провести время в компании лучших специалистов в индустрии.
ИНФОПАРТНЕРЫ
ОТВЕТЫ НА ВОПРОСЫ
Практика оценки квалификации по обезличенным отчётам существует с момента появления этичного хакинга и наша механика не нова. ИБ-компании всегда показывают примеры своей работы с помощью обезличенных отчетов. Это самый простой и распространенный способ оценить квалификацию исполнителя. У Offensive Security отчёт вообще размещен на сайте. При приеме на работу всегда просят привести пример самого интересного похека.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
1. Полнота описания: повествование развёрнуто, описаны контекст и вводные, есть пример эксплуатации, есть скрины и пруфы наличия уязвимостей. Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Заявка — это ваш рассказ о лучшем проекте в свободной форме. Речи не идет о раскрытии эксплоитов, любые шаги в цепочке эксплуатации полностью анонимны, детали могут быть скрыты, важен сам подход и идея.
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
>> ПОСМОТРЕТЬ ПРИЕМ ПОДАЧИ ЗАЯВКИ <<
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
>> ПОСМОТРЕТЬ ПРИЕМ ПОДАЧИ ЗАЯВКИ <<
С момента отправки ваш кейс участвует в конкурсе. Жюри оценивают работы в два этапа. Если ваша работа попадает в шорт-лист, организаторы напишут вам и пригласят на церемонию награждения, поэтому корректно пишите контакт для связи! Заявки без контакта для связи аннулируются.
Мы решили не ограничивать участников сроками давности кейсов, которыми они гордятся, чтобы у всех была возможность проявить себя. Это условие может измениться в будущем. Помните, что шансы удивить жюри и получить больше баллов, возрастают, если демонстрировать актуальные и полезные навыки и знания.
Да. Ограничений по количеству заявок нет. Но премия не предусматривает награду за количество, поэтому рекомендуем сделать упор на качество.
Да, сделайте отметку в тексте о том, в какие номинации вы подаете работу, либо мы решим это за вас.
Если остались вопросы, пишите @popsa_lizaa
ЗАКРЫТАЯ ВЕЧЕРИНКА ЦЕРЕМОНИИ НАГРАЖДЕНИЯ ДЛЯ ТЕХ, КТО ПОПАЛ В ШОРТ-ЛИСТ
Количество номинаций для участия не ограничено