Тестирование на проникновение — самая творческая ИБ-дисциплина, где выдающийся результат зависит от знаний технологий, способности применять их и креативно мыслить.
Миссия проекта — развитие этичного хакинга и повышение уровня компетенций участников. Благодаря премии, специалисты, которые драйвят рынок и задают высокую планку в профессиональном сообществе могут получить признание и подать пример начинающим.
Таймлайн
августа
14
Церемония
награждения
награждения
августа
11
13
-
формирование
шорт-листа
шорт-листа
до
августа
10
голосование
жюри
жюри
Приём заявок
до
июля
12
Номинации
За мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки.
Kill Chain
• Эксплуатация веб-уязвимости — выход на сервер — пивот в AD
• Пентест с цепочкой initial access — lateral movement — domain admin
• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту
• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре
Например сюда:
Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки.
куратор номинации
критерии оценки:
• Эксплуатация веб-уязвимости - выход на сервер - пивот в AD
• Пентест с цепочкой initial access - lateral movement - domain admin
• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту
• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре
НЕ сюда:
Номинации
За мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям. Номинация также охватывает обнаружение новых классов уязвимостей или значительное развитие существующего класса, применимых к множеству продуктов/стеков технологий. Также принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.
Системный взлом (Web & Logic)
• Единичная уязвимость с глубоким анализом первопричины и системным значением (0-day с CVE)
• Новый класс уязвимостей, применимый к множеству продуктов
• Нестандартный байпас аутентификации или авторизации с глубоким техническим анализом
• Критическая логическая уязвимость с нетривиальным вектором эксплуатации
Например сюда:
Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость.
критерии оценки:
• Уязвимость конкретного устройства/прошивки без масштабируемости — Device
• Цепочка из 2+ шагов в конкретной инфраструктуре — Kill Chain
• Атака на AI/LLM систему — AI
• Bypass СЗИ, как часть пентест-цепочки — Kill Chain
НЕ сюда:
куратор номинации
Номинации
За мастерство анализа уязвимостей в физических устройствах: от сетевого оборудования и IoT до мобильных телефонов, планшетов, автомобильных систем и бытовой электроники. Номинация фокусируется на конкретном устройстве как объекте исследования, включая его прошивку, аппаратные интерфейсы, мобильные ОС, клиентское ПО и взаимодействие с внешними сервисами. Цепочки уязвимостей внутри одного устройства также оцениваются в этой номинации.
Device
• RCE в телематическом блоке автомобиля через SMS
• Эксплуатация уязвимости в прошивке роутера, камеры, МФУ
• Эксплуатация уязвимости мобильной ОС или sandbox escape на iOS/Android
• Единичная уязвимость в мобильном приложении без выхода на ОС (API-баги, IDOR, утечка токенов) — Out of Scope
• Цепочка атак через мобильное приложение без эксплуатации ОС устройства — Kill Chain
• Уязвимость в носимом устройстве, ТВ, колонке
• Физический доступ к debug-интерфейсам (UART, JTAG, SWD)
• Цепочка уязвимостей внутри одного устройства
Например сюда:
Уровень критичности уязвимостей, глубина анализа взаимодействия устройства с окружением, сложность реверс-инжиниринга, новизна подхода к эксплуатации.
критерии оценки:
• Устройство как точка входа, а основная цепочка идёт далее по инфраструктуре — Kill Chain
• Исследование протокола, применимое к десяткам вендоров — Research
• Серверная уязвимость без привязки к конкретному железу — Kill Chain или Research
НЕ сюда:
Номинации
За нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF, SIEM и т. д.) и любые другие значимые кейсы. Если ваш кейс ценен, но вы не можете определить подходящую номинацию — эта номинация для вас.
Out of Scope
• Оригинальный фишинг или social engineering
• Собственный инструмент для пентеста с демонстрацией результатов
• Физический пентест (проникновение на объект, клонирование пропусков)
• Нестандартная автоматизация, методология, фреймворк
Например сюда:
Оригинальность, практическая значимость, вклад в развитие сообщества
критерии оценки:
• Новая методология обхода WAF/EDR без привязки к конкретному проекту
• Ценный кейс, не подходящий под критерии Kill Chain / Research / Device / AI
• Исследование криптографического алгоритма с доказательством слабости
Номинации
За выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на AI-системы: чат-боты, AI-ассистенты, AI-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM. Использование AI как инструмента для проведения атаки не является основанием для подачи в эту номинацию.
AI
• Обход механизмов защиты AI-систем (guardrails, content filters)
• Prompt injection и jailbreak-сценарии
• Извлечение скрытых данных из RAG-контекста или системных промптов
• Злоупотребление логикой AI-агентов и их интеграций (tool use, function calling)
• Эксплуатация ML-пайплайнов и инфраструктуры обучения/деплоя
• Нарушение ожидаемой модели поведения AI-системы с бизнес-импактом
Например сюда:
Оригинальность вектора атаки, глубина понимания архитектуры AI-системы, воспроизводимость, практическая значимость для безопасности AI-приложений.
критерии оценки:
• XSS/IDOR в веб-интерфейсе чат-бота, не связанные с AI-логикой — Kill Chain или Research
• Использование AI как инструмента атаки — оценивается результат, подавайте в соответствующую номинацию
• Классические уязвимости в инфраструктуре, на которой развёрнута модель — Kill Chain
НЕ сюда:
Pentest_Game.exe
First Boss
Награды.txt
1-е место
статуэтка и Macbook
2-е место
iPhone
3-е место
apple watch
Жюри
Илья Карпов
Более 12 лет ищет уязвимости, участвует в аудитах и пентестах КИИ. Зарегистрировал более 300 CVE\BDU, топ-10 разных записей в рейтинге BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
Павел Топорков
(Paul Axe)
Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.
Андрей Левкин
BIZONE Bug Bounty Product Owner
Роман Шемякин
Lead Application Security Engineer at Yandex
Павел Чернышев
Red Team Lead в Г К Совкомбанк. Около 10 лет в offensive ИБ. OSCP | OSCE | OSWP | OSEP | BSCP | CRTO | CRTL. Субкапитан команды DreamTeam (победители Standoff 2024) в направлении банковской инфраструктуры.
Вячеслав Касимов
Директор по кибербезопасности,
Точка банк
Точка банк
Сергей
Яшин
(snovvcrash)
Яшин
(snovvcrash)
Сергей Яшин (snovvcrash)
Рукoводитель Red Team Development Positive Technologies и автор блога Offensive Twitter, двукратный победитель Pentest Award
Михаил сидорук
Руководитель управления анализа защищенности, BIZONE
Александр Герасимов
Сооснователь Awillix, автор телеграм-канала Just Security.
Александр Козлов
Ведущий эксперт, Kaspersky ICS CERT; ст. преподаватель МГТУ им. Баумана, НИЯУ МИФИ, двукратный победитель Pentest award в номинации «Девайс»
Организатор премии
Авилликс — одна из лучших ИБ компаний компаний в РФ с фокусом на оффенсив направлении. Специализируемся на сложных и уникальных проектах по оценке рисков информационной безопасности и уровня зрелости ИБ в компаниях, анализу защищенности информационных систем и ИТ-инфраструктуры.
Вы хотите посетить сайт Awillix?
За 7 лет существования компании провели более 600 проектов по пентесту, более 10 000 выявленных уязвимостей для разных российских компаний
Безымянный.txt
Совкомбанк Технологии — аккредитованная Минцифры ИТ-компания в составе Группы Совкомбанка, входящей в топ-10 крупнейших банков России по размеру активов. В компании работает около 6 000 специалистов.
Команда развивает экосистему карты рассрочки «Халва», корпоративные платформы и цифровые сервисы, а также создаёт решения для защиты клиентских данных и банковских систем от киберугроз.
Команда развивает экосистему карты рассрочки «Халва», корпоративные платформы и цифровые сервисы, а также создаёт решения для защиты клиентских данных и банковских систем от киберугроз.
Безымянный_2.txt
В портфеле компании более 900 ИТ-проектов. Группа Совкомбанка ежегодно проводит собственный конкурс стартапов с призовым фондом 29 млн рублей и внедряет лучшие идеи в реальные банковские процессы.
Безымянный_3.txt
Совкомбанк Технологии входит в топ-10 лучших работодателей по версии «Хабр Карьеры», а Совкомбанк — в топ-20 работодателей России по версии hh.ru. Сотрудникам Группы Совкомбанка доступно более 50 корпоративных программ: обучение в корпоративном университете, работа и отдых в коворкингах в Сочи и на Алтае, совместные поездки с коллегами по России и за рубеж.
Безымянный.txt
Платформа BI.ZONE Bug Bounty — это 75 приватных и публичных программ, более 6000 багхантеров, выплаты в течение 30 часов и много-много приятных бонусов. Все просто: вы им — баги, они вам — деньги.
Pentest_Game.exe
Righ Key
Кейсы_победи
телей_ на_обложке _легендар
ного_журнала Хакер_1.png
телей_ на_обложке _легендар
ного_журнала Хакер_1.png
Кейсы_победи
телей_ на_обложке _легендар
ного_журнала Хакер_2.png
телей_ на_обложке _легендар
ного_журнала Хакер_2.png
Кейсы_победи
телей_ на_обложке _легендар
ного_журнала Хакер_3.png
телей_ на_обложке _легендар
ного_журнала Хакер_3.png
Кейсы_победителей_на_обложке_легендарного_журнала_Хак...
Кейсы_победителей_на_обложке_легендарного_журнала...
Кейсы_победителей_на_обложке_легендарного_журнала_Хак...
Кейсы_победителей_на_обложке_легендарного_журнала...
Кейсы_победителей_на_обложке_легендарного_журнала_Хак...
Кейсы_победителей_на_обложке_легендарного_журнала...
Партнёры
Инфопартнёры
Комьюнити партнёры
Pentest_Game.exe
Checkmate!
Ответы на вопросы
Почему оценивается формат именно описанных кейсов?
Практика оценки квалификации по обезличенным отчётам существует с момента появления этичного хакинга и наша механика не нова. ИБ-компании всегда показывают примеры своей работы с помощью обезличенных отчетов. Это самый простой и распространенный способ оценить квалификацию исполнителя. У Offensive Security отчёт вообще размещен на сайте. При приеме на работу всегда просят привести пример самого интересного похека.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей, но детали могут быть скрыты. Можете скрыть все чувствительные данные.
По каким критериям будут оцениваться работы?
1. Полнота описания: повествование развёрнуто, описаны контекст и вводные, есть пример эксплуатации, есть скрины и пруфы наличия уязвимостей.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Желательно обосновать сложность с точки зрения автора.
2. Сложность эксплуатации: применяются эксплойты собственной разработки, потребовался длительный ресёрч и другие особенности.
3. Нестандартный подход и креативность: например, фишинг сделали не на корпоративную почту, а на «Ватсап» с распространением чего-то, что пришлёт OTP из СМС для VPN, и это сработало.
4. Качество рекомендаций *не для всех номинаций*: в рекомендациях по устранению уязвимости учитываются стек заказчика, сфера деятельности, варианты устранения и так далее.
5. Вау-эффект: субъективный параметр на усмотрение членов жюри.
Какие есть требования к подаче заявки?
Заявка — это ваш рассказ о лучшем проекте в свободной форме. Речи не идет о раскрытии эксплоитов, любые шаги в цепочке эксплуатации полностью анонимны, детали могут быть скрыты, важен сам подход и идея.
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
Посмотреть пример подачи заявки
Мы не требуем оставлять личные данные, достаточно твоего ника в «Телеграме» для связи.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
Посмотреть пример подачи заявки
Как будет работать жюри и как понять, что мой кейс прошел отбор?
С момента отправки ваш кейс участвует в конкурсе. Жюри оценивают работы в два этапа. Если ваша работа попадает в шорт-лист, организаторы напишут вам и пригласят на церемонию награждения, поэтому корректно пишите контакт для связи! Заявки без контакта для связи аннулируются.
Есть ли ограничения по сроку давности подаваемой работы?
Мы решили не ограничивать участников сроками давности кейсов, которыми они гордятся, чтобы у всех была возможность проявить себя. Это условие может измениться в будущем. Помните, что шансы удивить жюри и получить больше баллов, возрастают, если демонстрировать актуальные и полезные навыки и знания.
Могу ли я подать несколько кейсов?
Да. Ограничений по количеству заявок нет. Но премия не предусматривает награду за количество, поэтому рекомендуем сделать упор на качество.
Могу ли я подать одну работу в две номинации?
Да. Ограничений по количеству заявок нет. Но премия не предусматривает награду за количество, поэтому рекомендуем сделать упор на качество.
Закрытая вечеринка церемонии награждения...
Закрытая вечеринка церемонии награждения для тех, кто попал в шорт-лист
001.jpg
002.jpg
003.jpg
004.jpg
005.jpg
006.jpg
007.jpg
008.jpg
009.jpg
010.jpg
Закрытая вечеринка церемонии награждения...
Закрытая вечеринка церемонии награждения для тех, кто попал в шорт-лист
001.jpg
002.jpg
003.jpg
004.jpg
005.jpg
006.jpg
007.jpg
008.jpg
009.jpg
010.jpg
Pentest_award_2025.mp4
Количество номинаций для участия не ограничено