Первая в России премия для
ПЕНТЕСТЕРов
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Поздравляем победителей Pentest Award 2023! Спасибо всем за участие и до встречи на Pentest Award 2024
Победители
Pentest Award 2023
Pentest Award 2023
В номинации «Пробив»
кейс «Пробив одного из крупнейших банков. Точка входа — мобильное приложение»
3 место
кейс «Пентест сервисов внешнего периметра без предоставления учётных записей, в ходе которого был получен доступ к объекту внутренней сети с использованием NTLM Relay»
2 место
кейс «Как за неделю превратить Open redirect в RCE»
1 место
1 место
кейс «От DLL Proxying до загрузки вредоносного SSP»
2 место
кейс «Reverse shell на Haskell и собственный шифрованный канал связи для обхода актуальной версии АВПО»
3 место
кейс «Bitrix с известной уязвимостью – возможность выполнения произвольного кода и обход СЗИ»
В номинации «Раз bypass, два bypass»
1 место
кейс «Социалка с ChatGPT»
2 место
кейс «Эмуляция windows в браузере»
3 место
кейс «Злоупотребление установкой VS Code для LPE»
В номинации «Ловись рыбка»
ПЕНТЕСТ—
это самая творческая ИБ-дисциплина,
а у всех творческих профессий есть премии.
а у всех творческих профессий есть премии.
Мы сделали Pentest Awards, чтобы этичные хакеры наконец смогли заявить о себе, рассказать о своих достижениях и получить признание отрасли.
насмотренность
креатив
опыт
Это премия для специалистов, которые драйвят рынок и задают высокую планку
в профессиональном комьюнити.
в профессиональном комьюнити.
ПЕНТЕСТ—
Это премия для специалистов, которые драйвят рынок и задают высокую планку
в профессиональном комьюнити.
в профессиональном комьюнити.
это самая творческая ИБ-дисциплина, а у всех творческих профессий есть премии.
Мы сделали Pentest Awards, чтобы этичные хакеры наконец смогли заявить о себе, рассказать о своих достижениях и получить признание отрасли.
опыт
креатив
насмотренность
03.08
Вручение премии
Номинации
26.07
Формирование
шорт листа
шорт листа
-
Голосование
жюри
жюри
24.07
–
26.07
Приём заявок до
23.07
Мы не требуем писать Ф. И. О. и оставлять личные данные, достаточно твоего ника в «Телеграме» для связи и обезличенного рассказа про твой лучший проект в свободной форме.
«Раз bypass,
два bypass»
два bypass»
«Чужие нас не предают, какое дело им до нас?!»
«Закреп/пивотинг»
«**ck the logic»
«Пробив»
«Ловись, рыбка»
«У самурая есть только путь»
«От волка ушёл,
а от меня не уйдёшь»
а от меня не уйдёшь»
Мы не требуем писать Ф. И. О. и оставлять личные данные, достаточно твоего ника в «Телеграме» для связи и обезличенного рассказа про твой лучший проект в свободной форме.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
Важно! Один человек может подать не более 3 работ. Количество номинаций для подачи не ограничено.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
Важно! Один человек может подать не более 3 работ. Количество номинаций для подачи не ограничено.
«Пробив»
За самый интересный пробив внешней инфраструктуры компании с помощью технических и логических уязвимостей. Приоритет — у разработки собственных эксплойтов без использования социотехнических методов.
«Закреп/пивотинг»
За самое классное развитие атаки на внутреннюю сеть после пробива внешнего узла сети.
«**ck the logic»
За находку самых топовых логических багов.
«Раз bypass, два bypass»
За самый красивый обход средств защиты информации.
«Ловись рыбка»
За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
«У самурая есть только путь»
За интересную, но недокрученную уязвимость, которую хочется докрутить после сдачи проекта. Рассматриваются значимые находки с обоснованием почему они могут быть развиты в атаки на исследуемое приложение.
Жюри
- Илья КарповРуководитель отдела исследований кибербезопасности и разработки сценариев киберучений в Национальном киберполигоне. Зарегистрировал более
300 CVE, топ-5 BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity. - Павел Топорков
(Paul Axe)Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack - Роман ПанинРуководитель направления Архитектуры ИБ в МТС. Строил с нуля и развивал процессы ИБ в ФинТехе, Нефтянке и Телекоме. Автор телеграм-канала «Пакет Безопасности».
- Евгений АндрюхинСпециалист по тестированию на проникновение, сертифицированный OSCP/OSCE/OSWE/CRTP/Attacking Active Directory with Linux/ Cloud Security: AWS Edition/ Windows Kernel Programming Course by Pavel Yosifovich
- Егор БогомоловУправляющий директор CyberEd
и генеральный директор Singleton Security. - Александр ГерасимовСооснователь Awillix,
автор телеграм-канала
Just Security. - Роман ШемякинLead Application
Security Engineer at Yandex - Михаил СидорукРуководитель управления анализа защищенности, BI.ZONE
- Николай ХечумовSenior Security Engineer в Avito. Автор утилиты для поиска секретов DeepSecrets.
1. Полнота описания: повествование развёрнуто, описаны контекст и вводные, есть пример эксплуатации, есть скрины и пруфы наличия уязвимостей.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Награды
Спонсоры премии
Инфопартнеры
Как это было
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Pentest Award by Awillix
Awillix — организатор премии
1 человек может подать не более 3-ех работ. Количество номинаций не ограничено