Отгремела третья ежегодная церемония награждения Pentest award — наградили лучших этичных хакеров России

Pentest award уже третий год отмечает талантливых специалистов, которые делают огромную работу по поиску уязвимостей, оставаясь за кадром. С каждым разом в проекте появляется больше номинаций, участников и партнеров, что позволяет сообществу расти, делиться уникальным опытом и находить новые рабочие инсайты.

Заявка на участие в премии — это рассказ о лучшем пентест-проекте в свободной форме. Речи не идет о раскрытии эксплоитов, любые шаги в цепочке эксплуатации могут быть анонимны, а детали скрыты. Важен сам подход и идея, необычные ресерчи и методики. Приз за победу — фирменная именная статуэтка и макбук. За второе место — айфон, а за третье — смарт-часы. 

Организаторы проекта — компания Awillix, одна из лучших пентестерских компаний в РФ, которая специализируется на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры.

Номинация «Пробив WEB» 

Номинация, в которой соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.

BI.ZONE Bug Bounty уже третий год курирует эту номинацию. Компания не только поддерживает существование номинации «Пробив WEB», но и дарит своим подопечным доступ к приватным программам, мерч и билеты на конференцию OFFZONE. Платформа Bug Bounty от BIZONE — это 90+ приватных и публичных программ, тысячи багхантеров, выплаты в течение 30 часов и много-много приятных бонусов. 

Победители

1 место: hunter — RainLoop: от шелла через аттач, до кэша в инбоксе 

2 место: dan_bogom — It’s just XSS, don’t worry

3 zerodivisi0n — Уязвимость удаленного выполнения кода через инъекцию аргументов exiftool

Рейтинги остальных финалистов

oleg_ulanoff — 262

A32s51 — 259

kiriknik — 257

baksist — 242

Nmikryukov — 219

Oki4_Doki & VlaDriev — 210

alexxandr7 — 207

«Pentest Award создает пространство, где специалисты по кибербезопасности могут делиться своими профессиональными победами и уникальным опытом. Для нас особенно ценно, что премия предоставляет площадку для обмена практическими кейсами и возможность поделиться личными достижениями с сообществом. Мы всегда рады поддержать коллег из Awillix в их усилиях по популяризации практической кибербезопасности» — Михаил Сидорук, руководитель управления анализа защищенности BI.ZONE

Номинация «Пробив инфраструктуры» 

Призеров «Пробива инфраструктуры» награждают за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.

Курирует номинацию в этом году Standoff Hackbase. Это онлайн-полигон для красных с реалистичными копиями систем и ПО из разных отраслей. Полигон позволяет практиковаться в проверке защищенности сервисов и находить уязвимости 24/7. В июле вышла обновленная версия Standoff Hackbase, где участникам стали доступны свежие задания, обновленная инфраструктура и специальный режим тренировок в формате сезонов.

Победители

1 место: Михаил Сухов (Im10n) — Ресёрч FreeIPA, как DCSync привёл к CVE-2025-4404

2 место: Георгий Геннадьев (D00Movenok) — Реверс и обход механизмов защиты VPN-клиента и взятие домена встроенными средствами Windows на ограниченной BYOD RDG машине

3 место: irabva — Пентест крупной промышленной компании

Рейтинги остальных финалистов 

VeeZy — 289

Cyber_Ghst — 274

AY_Serkov — 273

Im10n — 261

Alevuc — 256

dontunique — 241

«В этом году команда Standoff Hackbase впервые выступила партнером премии Pentest Award. Мы проанализировали десятки отчётов об уязвимостях в сетевых сервисах, устройствах и IoT — и выбрали действительно выдающиеся кейсы. В приоритете были глубина анализа, нестандартные подходы и успешная эксплуатация вне веб-контекста. Такие инициативы усиливают профессиональное сообщество и вносят серьёзный вклад в развитие наступательной ИБ в России. Также, хочется отметить хороший уровень экспертизы участников и прекрасную организацию со стороны команды Awillix» — Андрей Пугачев, архитектор платформы Standoff 365, Positive Technologies.

Номинация «Мобильный разлом: от устройства до сервера»

Оценивается мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами. Включает в себя как традиционные смартфоны и планшеты, так и носимые устройства. Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие: с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.

Номинация появилась в этом году впервые благодаря Совкомбанк Технологии — это аккредитованная ИТ-компания, входящая в Группу Совкомбанка, одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз. 

Победители

1 место: Сергей Арефьев — Цепочка уязвимостей, позволяющая обойти локальную авторизацию, получить API-токены и записывать файлы на устройство

2 место: mr4nd3r5on — 1-click ATO from mobile app 

3 место: Георгий Кумуржи (Russian_OSlNT) — Доступ к корпоративным веб-ресурсам организации из Интернета от лица произвольного работника с помощью эксплуатации уязвимого API корпоративного мобильного приложения

Рейтинги остальных финалистов

Nmikryukov — 201

mad3e7cat — 186

Byte_Wizard — 172

Номинация «Девайс»

За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая, но не ограничиваясь, контроллерами, мобильными устройствами, банкоматами, камерами, МФУ и так далее. Куратором номинации также выступили Совкомбанк Технологии. 

Победители

1 место: Александр Козлов и Сергей Ануфриенко авторы двух победивших кейсов — «Тачка на прокачку: RCE в ГУ вашего автомобиля» и «RCE в телематическом блоке автомобиля всего за одно SMS-сообщение».

2 место: Владимир Кононович (DrMefistO) — Вскрытие домофона.

3 место: k3vg3n — Цепочка уязвимостей в китайской компании

Рейтинги остальных финалистов

bearsec — 165

N3tn1la — 148

«От имени Совкомбанк Технологии был очень рад поддержать исследователей в области информационной безопасности на премии. Каждый из нас пользуется мобильными устройствами, а девайсы окружают нас повсюду: IoT, домофоны, камеры, автомобили, банкоматы — и любая уязвимость в них может привести к серьезным последствиям. Чем раньше мы найдём и исправим эти изъяны, тем безопаснее станет цифровая среда для миллионов пользователей. Мы хотим, чтобы талантливые специалисты могли открыто делиться находками и вместе двигать индустрию пентестов вперёд» — Павел Чернышев, Red Team Lead Совкомбанк Технологии.

Номинация «Раз bypass, два bypass»

За самый красивый обход средств защиты информации.

Победители

1 место: Артемий Цецерский — Time(less)-LAPS: сохранение анонимного доступа к паролям локальных админов на протяжении всего проекта

2 место: SmartGlue — Long Way: From Sandbox to Anti-Forensics With Love 

3 место: Human1231 —  Security bypass через WFР

Рейтинги остальных финалистов

Alevuc — 220

vanja_b — 203

Sol1v — 199

tatutovich — 197

VeeZy — 172

Номинация «Ловись рыбка» 

За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.

Победители

1 место: Георгий Кумуржи (Russian_OSlNT) — Evilginx2 и телеграмм-бот

2 место: Alevuc и Maledictos — Когда CRM — твой враг, а телеграм зло во плоти

3 место: Артем Метельков — Фишинг через supply chain

Рейтинги остальных финалистов

Oki4_Doki — 172

p4n4m44v4k4d4 — 124

Номинация «Hack the logic» 

За находку самых топовых логических баг. 

Победители

1 место: Григорий Прохоров — Race Condition (Состояние гонки) 

2 место: Олег Лабынцев (OkiDoki) — Уязвимость в платежной логике: реальное списание средств клиента по поддельным данным (оплата на произвольный договор без валидации данных) + массовая генерация чеков об оплате.

3 место: dan_bogomClient-side Backdoor in Real Cloud Storage Apps

Рейтинги остальных финалистов

AndrewYalta — 169

crusher404 — 166

w8boom — 165

shdwpwn — 165

iSavAnna — 162

k3vg3n — 160

matr0sk — 155

Номинация «Out of scope» 

За нестандартные находки и открытия в области наступательной кибербезопасности, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ.

Победители

1 место: dmarushkin — Охота на IDOR-ов

2 место: s0i37 — Google в локальной сети

3 место: VlaDriev, Levatein, N4m3U53r — BloodHound

Рейтинги остальных финалистов

andreukuznetsov — 58

ValMor1251 — 58

mr4nd3r5on — 55

wearetyomsmnv — 53

Russian_OSlNT — 53

zavgorof — 52

r0binak — 49

Итоги

За три года доверие к Pentest award выросло. Увеличилось количество заявок и качество предлагаемых ресерчей. Гордимся каждым кто, явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров. Особенно крутые те, кто попал в шорт-лист, это уже очень почетно!

P.S. 

Подробную информацию о жюри проекта, критериях оценки работ, партнерах проекта, требованиях к заявке на участие и архиву прошлогодних победителей можно получить на официальном сайте — https://award.awillix.ru/

Увидеть кейсы победителей в подробностях можно будет в осеннем спецвыпуске журнала Хакер.

Запись трансляции церемонии награжденияПрошлогодние кейсы победителей

Источник: habr.com

0 0 голоса
Рейтинг новости
1
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии