Первая в России ежегодная премия для пентестеров
Церемония награждения Pentest Award стала профессиональным праздником для пентестеров, престижным клубом для избранных, где каждый вносит вклад в развитие сообщества, делится уникальным опытом, получает колоссальное вдохновение и кучу новых рабочих инсайтов.
Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей. С помощью премии они могут заявить о своих достижениях, продемонстрировать таланты, получить признание и много подарков.
В номинации «Пробив web»
Победители Pentest Award 2025
Кейс «Уязвимость удаленного выполнения кода через инъекцию аргументов exiftool»
Рейтинги остальных финалистов
oleg_ulanoff — 262
A32s51 — 259
kiriknik — 257
baksist — 242
Nmikryukov — 219
Oki4_Doki & VlaDriev — 210
alexxandr7 — 207
A32s51 — 259
kiriknik — 257
baksist — 242
Nmikryukov — 219
Oki4_Doki & VlaDriev — 210
alexxandr7 — 207
zerodivisi0n
место
Кейс «It's just XSS, don’t worry»
dan_bogom
место
Кейс «RainLoop: от шелла через аттач, до кэша в инбоксе»
hunter
место
В номинации
«Пробив инфраструктуры»
«Пробив инфраструктуры»
Кейс «Пентест крупной промышленной компании»
Рейтинги остальных финалистов
VeeZy — 289
Cyber_Ghst — 274
AY_Serkov — 273
Im10n — 261
Alevuc — 256
dontunique — 241
Cyber_Ghst — 274
AY_Serkov — 273
Im10n — 261
Alevuc — 256
dontunique — 241
irabva
место
Кейс «Реверс и обход механизмов защиты VPN-клиента и взятие домена встроенными средствами Windows на ограниченной BYOD RDG машине»
Георгий Геннадьев (D00Movenok)
место
Кейс «Ресёрч FreeIPA, как DCSync привёл к CVE-2025−4404»
Михаил Сухов (Im10n)
место
В номинации
«Мобильный разлом: от устройства до сервера»
«Мобильный разлом: от устройства до сервера»
Кейс «Доступ к корпоративным веб-ресурсам организации из Интернета от лица произвольного работника с помощью эксплуатации уязвимого API корпоративного мобильного приложения»
Рейтинги остальных финалистов
Nmikryukov — 201
mad3e7cat — 186
Byte_Wizard — 172
mad3e7cat — 186
Byte_Wizard — 172
Георгий Кумуржи (Russian_OSlNT)
место
Кейс «1-click ATO from mobile app»
mr4nd3r5on
место
Кейс «Цепочка уязвимостей, позволяющая обойти локальную авторизацию, получить API-токены и записывать файлы на устройство»
Сергей Арефьев
место
В номинации
«Девайс»
«Девайс»
Кейс «Цепочка уязвимостей в китайской компании»
Рейтинги остальных финалистов
bearsec — 165
N3tn1la — 148
N3tn1la — 148
k3vg3n
место
Кейс «Вскрытие домофона»
Владимир Кононович (DrMefistO)
место
Кейсы: «Тачка на прокачку: RCE в ГУ вашего автомобиля» и «RCE в телематическом блоке автомобиля всего за одно SMS-сообщение»
Александр Козлов и Сергей Ануфриенко авторы двух победивших кейсов
место
В номинации
«Раз bypass, два bypass»
«Раз bypass, два bypass»
Кейс «Security bypass через WFР»
Рейтинги остальных финалистов
Alevuc — 220
vanja_b — 203
Sol1v — 199
tatutovich — 197
VeeZy — 172
vanja_b — 203
Sol1v — 199
tatutovich — 197
VeeZy — 172
Human1231
место
Кейс «Long Way: From Sandbox to Anti-Forensics With Love»
SmartGlue
место
Кейс «LAPS: сохранение анонимного доступа к паролям локальных админов на протяжении всего проекта»
Артемий Цецерский — Time(less)
место
В номинации
«Ловись рыбка»
«Ловись рыбка»
Кейс «Фишинг через supply chain»
Рейтинги остальных финалистов
Oki4_Doki — 172
p4n4m44v4k4d4 — 124
p4n4m44v4k4d4 — 124
Артем Метельков
место
Кейс «Когда CRM — твой враг, а телеграм зло во плоти»
Alevuc и Maledictos
место
Кейс «Evilginx2 и телеграмм-бот»
Георгий Кумуржи (Russian_OSlNT)
место
В номинации
«Hack the logic»
«Hack the logic»
Кейс «Client-side Backdoor in Real Cloud Storage Apps»
Рейтинги остальных финалистов
AndrewYalta — 169
crusher404 — 166
w8boom — 165
shdwpwn — 165
iSavAnna — 162
k3vg3n — 160
matr0sk — 155
crusher404 — 166
w8boom — 165
shdwpwn — 165
iSavAnna — 162
k3vg3n — 160
matr0sk — 155
dan_bogom
место
Кейс «Уязвимость в платежной логике: реальное списание средств клиента по поддельным данным (оплата на произвольный договор без валидации данных) + массовая генерация чеков об оплате»
Олег Лабынцев (OkiDoki)
место
Кейс «Race Condition (Состояние гонки)»
Григорий Прохоров
место
В номинации
«Out of scope»
«Out of scope»
Кейс «BloodHound»
Рейтинги остальных финалистов
andreukuznetsov — 58
ValMor1251 — 58
mr4nd3r5on — 55
wearetyomsmnv — 53
Russian_OSlNT — 53
zavgorof — 52
r0binak — 49
ValMor1251 — 58
mr4nd3r5on — 55
wearetyomsmnv — 53
Russian_OSlNT — 53
zavgorof — 52
r0binak — 49
VlaDriev, Levatein, N4m3U53r
место
Кейс «Google в локальной сети»
s0i37
место
Кейс «Охота на IDOR-ов»
dmarushkin
место
Таймлайн
прием заявок
16.07
17-30.07
голосование жюри
вручение премии
1.08
формирование
шорт-листа
шорт-листа
30-31.07
Таймлайн
вручение премии
1.08
17-30.07
голосование жюри
прием заявок
16.07
формирование
шорт-листа
шорт-листа
30-31.07
Таймлайн
вручение премии
уточняется
1-7.07
голосование жюри
прием заявок
30/06
формирование
шорт-листа
шорт-листа
17-31.07
прием заявок
16.07
17-30.07
голосование жюри
вручение премии
1.08
формирование
шорт-листа
шорт-листа
30-31.07
«Есть мнение, что серьезные и интересные кейсы, люди побояться отправлять из-за NDA. На практике мы видим множество крутых, полностью обезличенных работ, где заказчика невозможно идентифицировать. У кого-то, найденные уязвимости, уже исправили, поэтому они спокойно ими делятся. А вообще, интересны не сами чейны, а необычные подходы, ресерчи и методики. Никого не интересуют компании и бренды, герои этой премии — экспертные спецы, которым пора перестать быть „за кадром“ и начать праздновать свои достижения.»
Антон Лопаницын (bo0om) – исследователь информационной безопасности, известный блогер, победитель Pentest Award 2023.
В этой номинации нет привычных призовых мест — мы выбираем три самых поучительных примера, которые принесут максимум пользы сообществу. Победителям вручаются символические, но теплые подарки за вклад в коллективный опыт.
За самые ценные неудачи и полезные уроки в сфере ИБ. Кейсы, где что-то пошло не по плану: заваленный прод, неконтролируемая эскалация привилегий, случайное создание эксплоита с критическими последствиями и другие технические фейлы. Главное — не ошибка сама по себе, а те выводы, которые помогут другим не наступить на те же грабли.
за мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами. Включает в себя как традиционные смартфоны и планшеты, так и носимые устройства. Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие: с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.
За выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
За мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.
Участникам номинации «Пробив WEB» будут доступны приватные программы на платформе BIZONE bug bounty, а победителям подарят проходки на OFFZONE.
За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в устройствах, их прошивках и протоколах, окружении и клиентском ПО. Включает в себя широкий спектр устройств: от сетевых устройств (роутеры, свитчи, IoT), до камеры, МФУ, и других устройств, работающих в корпоративных или домашних сетях, включая ТВ, колонки. Оценивается не только уровень критичности уязвимостей, но и глубина анализа взаимодействия устройства с внешними системами или клиентами.
За находку самых топовых логических баг.
За самый красивый обход средств защиты информации.
За нестандартные находки и открытия в области наступательной кибербезопасности, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ. Если ваш кейс не подходит под текущие категории, но заслуживает внимания — эта номинация для вас.
За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
Номинации
куратор номинации
пробив web
«Ловись рыбка»
Осторожно грабли
антиноминация
«**ck the logic»
пробив
инфраструктуры
инфраструктуры
куратор номинации
«Раз bypass, два bypass»
Out of Scope
Девайс
куратор номинации
куратор номинации
Мобильный
разлом:
разлом:
от устройства до сервера
«Интересно было увидеть кейсы коллег, которые находят уязвимости нулевого дня или целенаправленно разрабатывают инструменты под свои пентест-проекты. Впечатлили победители в номинации „Девайс“ с RCE на популярных модемах, позволяющую выполнить произвольный код путем отправки специально сформированных SMS.»
Сергей Яшин (snovvcrash), рукoводитель Red Team Development Positive Technologies и автор блога Offensive Twitter, двукратный победитель Pentest Award 2023 и 2024
награды
жюри
Сергей Яшин (snovvcrash)
Павел Чернышев
Red Team Lead в ГК Совкомбанк. Около 10 лет в offensive ИБ. OSCP | OSCE | OSWP | OSEP | BSCP | CRTO | CRTL. Субкапитан команды DreamTeam (победители Standoff 2024) в направлении банковской инфраструктуры.
Исследователь информационной безопасности, известный блогер, победитель Pentest Award 2023
Рукoводитель Red Team Development Positive Technologies и автор блога Offensive Twitter, двукратный победитель Pentest Award 2023 и 2024
Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.
Павел Топорков
(Paul Axe)
(Paul Axe)
Антон Лопаницын (bo0om)
Никита Кузякин
Илья Карпов
Более 12 лет ищу уязвимости, участвую в аудитах и пентестах КИИ. Зарегистрировал более
300 CVE\BDU, топ-10 разных записей в рейтинге BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
300 CVE\BDU, топ-10 разных записей в рейтинге BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
Директор департамента информационной безопасности, Московский кредитный банк (Банк МКБ)
Руководитель направления верификации уязвимостей BI.ZONE Bug Bounty
Lead Application Security Engineer at Yandex
Роман Шемякин
Вячеслав Касимов
Павел Шлюндин
10 лет опыта в пентесте и RedTeam. OSCP|LPT|OSCE old|OSWE|CRTE|OSED
Руководитель управления анализа защищенности, BI.ZONE
Михаил Сидорук
Сооснователь Awillix, автор телеграм-канала Just Security.
Александр Герасимов
Андрей Пугачев
Эксперт группы архитектуры киберполигона Standoff. Более 20 лет работает в информационной безопасности и обучает молодых специалистов
За 6 лет
существования компании
более 10 000
выявленных уязвимостей для разных российских компаний
Организатор премии
более 400
проектов провели по пентесту
Awillix — одна из лучших пентестерских компаний в РФ. Специализируемся на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры.
спонсоры
Сотрудники компании работают над масштабными и амбициозными задачами: развивают экосистему карты рассрочки «Халва», корпоративные платформы и приложения. В том числе разрабатывают передовые решения для защиты данных клиентов и банковских систем от киберугроз. Это включает использование современных методов шифрования, систем обнаружения и предотвращения вторжений (IDS/IPS) и других технологий безопасности.
В портфеле компании более 800 ИТ-проектов. Группа Совкомбанка активно сотрудничает с финтех-стартапами и ежегодно проводит собственный конкурс стартапов с призовым фондом 25 млн рублей. Идеи действительно внедряются в прод, а не лежат в бэклоге. Новые решения на постоянной основе масштабируются и внедряются в банковские процессы.
Совкомбанк Технологии входит в топ-5 лучших работодателей рейтинга «Хабр Карьера», а Совкомбанк — в топ-20 работодателей России по версии hh.ru.
Совкомбанк Технологии —
аккредитованная Минцифры ИТ-компания, входящая в финансовую Группу Совкомбанка, одного из крупнейших коммерческих банков России. В штате Совкомбанк Технологии более 5,5 тысяч специалистов.
аккредитованная Минцифры ИТ-компания, входящая в финансовую Группу Совкомбанка, одного из крупнейших коммерческих банков России. В штате Совкомбанк Технологии более 5,5 тысяч специалистов.
Сотрудникам Группы Совкомбанка доступны более 50 корпоративных программ: можно учиться в корпоративном университете, работать и отдыхать в коворкингах в Сочи и на Алтае, ездить в совместные путешествия с коллегами — за год сотрудник может успеть побывать на горнолыжном курорте, на берегу моря и в Китае.
свайпай вправо
Платформа BI.ZONE Bug Bounty — это 75 приватных и публичных программ, более 6000 багхантеров, выплаты в течение 30 часов и много-много приятных бонусов. Все просто: вы им — баги, они вам — деньги.
Для начинающих специалистов есть сегмент Bootcamp, чтобы плавно погружаться в ИБ. Для профи — специальные задания повышенной сложности, где точно не заскучаешь. Этим летом на полигоне много апдейтов: новый сезонный рейтинг, обновления инфраструктуры и задания с самыми свежими уязвимостями.
Standoff Hackbase — это онлайн-полигон для красных с реалистичными копиями систем и ПО из разных отраслей. Полигон позволяет практиковаться в проверке защищенности сервисов и находить уязвимости 24/7. Так можно прокачать скилы и попасть на верхушку рейтинга Standoff.
фидбэки участников
ответы на вопросы
Практика оценки квалификации по обезличенным отчётам существует с момента появления этичного хакинга и наша механика не нова. ИБ-компании всегда показывают примеры своей работы с помощью обезличенных отчетов. Это самый простой и распространенный способ оценить квалификацию исполнителя. У Offensive Security отчёт вообще размещен на сайте. При приеме на работу всегда просят привести пример самого интересного похека.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
1. Полнота описания: повествование развёрнуто, описаны контекст и вводные, есть пример эксплуатации, есть скрины и пруфы наличия уязвимостей.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Заявка — это ваш рассказ о лучшем проекте в свободной форме. Речи не идет о раскрытии эксплоитов, любые шаги в цепочке эксплуатации полностью анонимны, детали могут быть скрыты, важен сам подход и идея.
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
>> ПОСМОТРЕТЬ ПРИМЕР ПОДАЧИ ЗАЯВКИ <<
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
>> ПОСМОТРЕТЬ ПРИМЕР ПОДАЧИ ЗАЯВКИ <<
С момента отправки ваш кейс участвует в конкурсе. Жюри оценивают работы в два этапа. Если ваша работа попадает в шорт-лист, организаторы напишут вам и пригласят на церемонию награждения, поэтому корректно пишите контакт для связи! Заявки без контакта для связи аннулируются.
Мы решили не ограничивать участников сроками давности кейсов, которыми они гордятся, чтобы у всех была возможность проявить себя. Это условие может измениться в будущем. Помните, что шансы удивить жюри и получить больше баллов, возрастают, если демонстрировать актуальные и полезные навыки и знания.
Да. Ограничений по количеству заявок нет. Но премия не предусматривает награду за количество, поэтому рекомендуем сделать упор на качество.
Да, сделайте отметку в тексте о том, в какие номинации вы подаете работу, либо мы решим это за вас.
Если остались вопросы, пишите @popsa_lizaa
Закрытая вечеринка церемонии награждения для тех, кто попал в шорт-лист
Количество номинаций для участия не ограничено