Pentest award уже третий год отмечает талантливых специалистов, которые делают огромную работу по поиску уязвимостей, оставаясь за кадром. С каждым разом в проекте появляется больше номинаций, участников и партнеров, что позволяет сообществу расти, делиться уникальным опытом и находить новые рабочие инсайты.
Заявка на участие в премии — это рассказ о лучшем пентест-проекте в свободной форме. Речи не идет о раскрытии эксплоитов, любые шаги в цепочке эксплуатации могут быть анонимны, а детали скрыты. Важен сам подход и идея, необычные ресерчи и методики. Приз за победу — фирменная именная статуэтка и макбук. За второе место — айфон, а за третье — смарт-часы.
Организаторы проекта — компания Awillix, одна из лучших пентестерских компаний в РФ, которая специализируется на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры.
Номинация «Пробив WEB»
Номинация, в которой соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.
BI.ZONE Bug Bounty уже третий год курирует эту номинацию. Компания не только поддерживает существование номинации «Пробив WEB», но и дарит своим подопечным доступ к приватным программам, мерч и билеты на конференцию OFFZONE. Платформа Bug Bounty от BIZONE — это 90+ приватных и публичных программ, тысячи багхантеров, выплаты в течение 30 часов и много-много приятных бонусов.
Победители
1 место: hunter — RainLoop: от шелла через аттач, до кэша в инбоксе
2 место: dan_bogom — It’s just XSS, don’t worry
3 zerodivisi0n — Уязвимость удаленного выполнения кода через инъекцию аргументов exiftool
Рейтинги остальных финалистов
oleg_ulanoff — 262
A32s51 — 259
kiriknik — 257
baksist — 242
Nmikryukov — 219
Oki4_Doki & VlaDriev — 210
alexxandr7 — 207
«Pentest Award создает пространство, где специалисты по кибербезопасности могут делиться своими профессиональными победами и уникальным опытом. Для нас особенно ценно, что премия предоставляет площадку для обмена практическими кейсами и возможность поделиться личными достижениями с сообществом. Мы всегда рады поддержать коллег из Awillix в их усилиях по популяризации практической кибербезопасности» — Михаил Сидорук, руководитель управления анализа защищенности BI.ZONE
Номинация «Пробив инфраструктуры»
Призеров «Пробива инфраструктуры» награждают за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Курирует номинацию в этом году Standoff Hackbase. Это онлайн-полигон для красных с реалистичными копиями систем и ПО из разных отраслей. Полигон позволяет практиковаться в проверке защищенности сервисов и находить уязвимости 24/7. В июле вышла обновленная версия Standoff Hackbase, где участникам стали доступны свежие задания, обновленная инфраструктура и специальный режим тренировок в формате сезонов.
Победители
1 место: Михаил Сухов (Im10n) — Ресёрч FreeIPA, как DCSync привёл к CVE-2025-4404
2 место: Георгий Геннадьев (D00Movenok) — Реверс и обход механизмов защиты VPN-клиента и взятие домена встроенными средствами Windows на ограниченной BYOD RDG машине
3 место: irabva — Пентест крупной промышленной компании
Рейтинги остальных финалистов
VeeZy — 289
Cyber_Ghst — 274
AY_Serkov — 273
Im10n — 261
Alevuc — 256
dontunique — 241
«В этом году команда Standoff Hackbase впервые выступила партнером премии Pentest Award. Мы проанализировали десятки отчётов об уязвимостях в сетевых сервисах, устройствах и IoT — и выбрали действительно выдающиеся кейсы. В приоритете были глубина анализа, нестандартные подходы и успешная эксплуатация вне веб-контекста. Такие инициативы усиливают профессиональное сообщество и вносят серьёзный вклад в развитие наступательной ИБ в России. Также, хочется отметить хороший уровень экспертизы участников и прекрасную организацию со стороны команды Awillix» — Андрей Пугачев, архитектор платформы Standoff 365, Positive Technologies.
Номинация «Мобильный разлом: от устройства до сервера»
Оценивается мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами. Включает в себя как традиционные смартфоны и планшеты, так и носимые устройства. Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие: с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.
Номинация появилась в этом году впервые благодаря Совкомбанк Технологии — это аккредитованная ИТ-компания, входящая в Группу Совкомбанка, одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз.
Победители
1 место: Сергей Арефьев — Цепочка уязвимостей, позволяющая обойти локальную авторизацию, получить API-токены и записывать файлы на устройство
2 место: mr4nd3r5on — 1-click ATO from mobile app
3 место: Георгий Кумуржи (Russian_OSlNT) — Доступ к корпоративным веб-ресурсам организации из Интернета от лица произвольного работника с помощью эксплуатации уязвимого API корпоративного мобильного приложения
Рейтинги остальных финалистов
Nmikryukov — 201
mad3e7cat — 186
Byte_Wizard — 172
Номинация «Девайс»
За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая, но не ограничиваясь, контроллерами, мобильными устройствами, банкоматами, камерами, МФУ и так далее. Куратором номинации также выступили Совкомбанк Технологии.
Победители
1 место: Александр Козлов и Сергей Ануфриенко авторы двух победивших кейсов — «Тачка на прокачку: RCE в ГУ вашего автомобиля» и «RCE в телематическом блоке автомобиля всего за одно SMS-сообщение».
2 место: Владимир Кононович (DrMefistO) — Вскрытие домофона.
3 место: k3vg3n — Цепочка уязвимостей в китайской компании
Рейтинги остальных финалистов
bearsec — 165
N3tn1la — 148
«От имени Совкомбанк Технологии был очень рад поддержать исследователей в области информационной безопасности на премии. Каждый из нас пользуется мобильными устройствами, а девайсы окружают нас повсюду: IoT, домофоны, камеры, автомобили, банкоматы — и любая уязвимость в них может привести к серьезным последствиям. Чем раньше мы найдём и исправим эти изъяны, тем безопаснее станет цифровая среда для миллионов пользователей. Мы хотим, чтобы талантливые специалисты могли открыто делиться находками и вместе двигать индустрию пентестов вперёд» — Павел Чернышев, Red Team Lead Совкомбанк Технологии.
Номинация «Раз bypass, два bypass»
За самый красивый обход средств защиты информации.
Победители
1 место: Артемий Цецерский — Time(less)-LAPS: сохранение анонимного доступа к паролям локальных админов на протяжении всего проекта
2 место: SmartGlue — Long Way: From Sandbox to Anti-Forensics With Love
3 место: Human1231 — Security bypass через WFР
Рейтинги остальных финалистов
Alevuc — 220
vanja_b — 203
Sol1v — 199
tatutovich — 197
VeeZy — 172
Номинация «Ловись рыбка»
За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
Победители
1 место: Георгий Кумуржи (Russian_OSlNT) — Evilginx2 и телеграмм-бот
2 место: Alevuc и Maledictos — Когда CRM — твой враг, а телеграм зло во плоти
3 место: Артем Метельков — Фишинг через supply chain
Рейтинги остальных финалистов
Oki4_Doki — 172
p4n4m44v4k4d4 — 124
Номинация «Hack the logic»
За находку самых топовых логических баг.
Победители
1 место: Григорий Прохоров — Race Condition (Состояние гонки)
2 место: Олег Лабынцев (OkiDoki) — Уязвимость в платежной логике: реальное списание средств клиента по поддельным данным (оплата на произвольный договор без валидации данных) + массовая генерация чеков об оплате.
3 место: dan_bogomClient-side Backdoor in Real Cloud Storage Apps
Рейтинги остальных финалистов
AndrewYalta — 169
crusher404 — 166
w8boom — 165
shdwpwn — 165
iSavAnna — 162
k3vg3n — 160
matr0sk — 155
Номинация «Out of scope»
За нестандартные находки и открытия в области наступательной кибербезопасности, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ.
Победители
1 место: dmarushkin — Охота на IDOR-ов
2 место: s0i37 — Google в локальной сети
3 место: VlaDriev, Levatein, N4m3U53r — BloodHound
Рейтинги остальных финалистов
andreukuznetsov — 58
ValMor1251 — 58
mr4nd3r5on — 55
wearetyomsmnv — 53
Russian_OSlNT — 53
zavgorof — 52
r0binak — 49
Итоги
За три года доверие к Pentest award выросло. Увеличилось количество заявок и качество предлагаемых ресерчей. Гордимся каждым кто, явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров. Особенно крутые те, кто попал в шорт-лист, это уже очень почетно!
P.S.
Подробную информацию о жюри проекта, критериях оценки работ, партнерах проекта, требованиях к заявке на участие и архиву прошлогодних победителей можно получить на официальном сайте — https://award.awillix.ru/
Увидеть кейсы победителей в подробностях можно будет в осеннем спецвыпуске журнала Хакер.
Запись трансляции церемонии награжденияПрошлогодние кейсы победителей
Источник: habr.com