Copy of Blank page

Победители

Таймлайн

Номинации

Награды

Жюри

Партнеры

Вопрос-ответ

14/08/2026

19:00

Победители

Таймлайн

Номинации

Награды

14/08/2026

19:00

Жюри

Партнеры

Вопрос-ответ

ежегодная премия

для пентестеров

Первая в России ежегодная независимая премия для пентестеров.

Pentest_Game.exe

оставить заявку

Таймлайн

августа

14

Церемония
награждения

августа

11

13

-

формирование
шорт-листа

до

августа

10

голосование
жюри

Приём заявок

до

июля

12

Номинации

За мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки.

Kill Chain

• Эксплуатация веб-уязвимости — выход на сервер — пивот в AD

• Пентест с цепочкой initial access — lateral movement — domain admin

• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту

• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре

Например сюда:

Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки.

критерии оценки:

• Эксплуатация веб-уязвимости - выход на сервер - пивот в AD

• Пентест с цепочкой initial access - lateral movement - domain admin

• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту

• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре

НЕ сюда:

Номинации

За мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям. Номинация также охватывает обнаружение новых классов уязвимостей или значительное развитие существующего класса, применимых к множеству продуктов/стеков технологий. Также принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.

Системный взлом (Web & Logic)

• Единичная уязвимость с глубоким анализом первопричины и системным значением (0-day с CVE)

• Новый класс уязвимостей, применимый к множеству продуктов

• Нестандартный байпас аутентификации или авторизации с глубоким техническим анализом

• Критическая логическая уязвимость с нетривиальным вектором эксплуатации

Например сюда:

Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость.

критерии оценки:

• Уязвимость конкретного устройства/прошивки без масштабируемости — Device

• Цепочка из 2+ шагов в конкретной инфраструктуре — Kill Chain

• Атака на AI/LLM систему — AI

• Bypass СЗИ, как часть пентест-цепочки — Kill Chain

НЕ сюда:

Номинации

За мастерство анализа уязвимостей в физических устройствах: от сетевого оборудования и IoT до мобильных телефонов, планшетов, автомобильных систем и бытовой электроники. Номинация фокусируется на конкретном устройстве как объекте исследования, включая его прошивку, аппаратные интерфейсы, мобильные ОС, клиентское ПО и взаимодействие с внешними сервисами. Цепочки уязвимостей внутри одного устройства также оцениваются в этой номинации.

Device

• RCE в телематическом блоке автомобиля через SMS

• Эксплуатация уязвимости в прошивке роутера, камеры, МФУ

• Эксплуатация уязвимости мобильной ОС или sandbox escape на iOS/Android

• Единичная уязвимость в мобильном приложении без выхода на ОС (API-баги, IDOR, утечка токенов) — Out of Scope

• Цепочка атак через мобильное приложение без эксплуатации ОС устройства — Kill Chain

• Уязвимость в носимом устройстве, ТВ, колонке

• Физический доступ к debug-интерфейсам (UART, JTAG, SWD)

• Цепочка уязвимостей внутри одного устройства

Например сюда:

Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость.

критерии оценки:

• Устройство как точка входа, а основная цепочка идёт далее по инфраструктуре — Kill Chain

• Исследование протокола, применимое к десяткам вендоров — Research

• Серверная уязвимость без привязки к конкретному железу — Kill Chain или Research

НЕ сюда:

Номинации

За нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF, SIEM и т. д.) и любые другие значимые кейсы. Если ваш кейс ценен, но вы не можете определить подходящую номинацию — эта номинация для вас.

Out of Scope

• Оригинальный фишинг или social engineering

• Собственный инструмент для пентеста с демонстрацией результатов

• Физический пентест (проникновение на объект, клонирование пропусков)

• Нестандартная автоматизация, методология, фреймворк

Например сюда:

Оригинальность, практическая значимость, вклад в развитие сообщества

критерии оценки:

• Новая методология обхода WAF/EDR без привязки к конкретному проекту

• Ценный кейс, не подходящий под критерии Kill Chain / Research / Device / AI

• Исследование криптографического алгоритма с доказательством слабости

Номинации

За выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на AI-системы: чат-боты, AI-ассистенты, AI-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM. Использование AI как инструмента для проведения атаки не является основанием для подачи в эту номинацию.

AI

• Обход механизмов защиты AI-систем (guardrails, content filters)

• Prompt injection и jailbreak-сценарии

• Извлечение скрытых данных из RAG-контекста или системных промптов

• Злоупотребление логикой AI-агентов и их интеграций (tool use, function calling)

• Эксплуатация ML-пайплайнов и инфраструктуры обучения/деплоя

• Нарушение ожидаемой модели поведения AI-системы с бизнес-импактом

Например сюда:

Оригинальность вектора атаки, глубина понимания архитектуры AI-системы, воспроизводимость, практическая значимость для безопасности AI-приложений.

критерии оценки:

• XSS/IDOR в веб-интерфейсе чат-бота, не связанные с AI-логикой — Kill Chain или Research

• Использование AI как инструмента атаки — оценивается результат, подавайте в соответствующую номинацию

• Классические уязвимости в инфраструктуре, на которой развёрнута модель — Kill Chain

НЕ сюда:

Жюри

Илья Карпов

Более 12 лет ищу уязвимости, участвую в аудитах и пентестах КИИ. Зарегистрировал более 300 CVE\BDU, топ-10 разных записей в рейтинге BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.

Павел Топорков (Paul Axe)

Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.

Bi.zone
Bi.zone

Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.

Роман Шемякин

Lead Application Security Engineer at Yandex

Павел Чернышев

Вячеслав Касимов

директор департамента информационной безопасности, Московский кредитный банк (Банк МКБ)

Павел Шлюндин

Михаил сидорук

Руководитель управления анализа защищенности, BI.ZONE

Александр Герасимов

Сооснователь Awillix, автор телеграм-канала Just Security.

Александр Козлов

ведущий эксперт, Kaspersky ICS CERT; ст. преподаватель МГТУ им. Баумана, НИЯУ МИФИ

Спонсоры

Безымянный.txt

Совкомбанк Технологии — аккредитованная Минцифры ИТ-компания в Группе Совкомбанка, входящего в топ-10 крупнейших банков России. В штате Совкомбанк Технологии работает около 6 тысяч специалистов

Сотрудники компании работают над масштабными и амбициозными задачами: развивают экосистему карты рассрочки «Халва», корпоративные платформы и приложения. В том числе разрабатывают передовые решения для защиты данных клиентов и банковских систем от киберугроз. Это включает использование современных методов шифрования, систем обнаружения и предотвращения вторжений (IDS/IPS) и других технологий безопасности.

Безымянный_2.txt

В портфеле компании более 800 ИТ-проектов. Группа Совкомбанка активно сотрудничает с финтех-стартапами и ежегодно проводит собственный конкурс стартапов с призовым фондом 29 млн рублей. Идеи действительно внедряются в прод, а не лежат в бэклоге. Новые решения на постоянной основе масштабируются и внедряются в банковские процессы.

Совкомбанк Технологии входит в топ-10 лучших работодателей рейтинга «Хабр Карьера», а Совкомбанк — в топ-20 работодателей России по версии hh.ru.

Безымянный_3.txt

Сотрудникам Группы Совкомбанка доступны более 50 корпоративных программ: можно учиться в корпоративном университете, работать и отдыхать в коворкингах в Сочи и на Алтае, ездить в совместные путешествия с коллегами — за год сотрудник может успеть побывать на горнолыжном курорте, на берегу моря и в Китае.

В команде ценится инициатива, обучение и менторство. Это созвучно с миссией Pentest Award — развивать компетенции и популяризировать профессию этичного хакера. Поэтому в 2026 году Совкомбанк Технологии становятся партнёром Pentest Award во второй раз.

Безымянный_4.txt

В этом году компания курирует номинацию Kill Chain, которая объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Эксперт Совкомбанка Технологии Павел Чернышев, Red Team Lead, вошёл в состав жюри премии.