Просто смотреть на severity и количество уязвимостей — уже давно не рабочий инструмент. Такой подход не отражает ни реального уровня риска, ни приоритетов на устранение. Чтобы система управления уязвимостями действительно приносила пользу, нужно учитывать контекст и особенности среды, где эта уязвимость была обнаружена.
❣ Метрики, которые действительно важно учитывать:
📍 Наличие эксплоита: есть публичный PoC или рабочий эксплоит? — Вероятность эксплуатации в таком случае резко возрастает.
📍 Актуальность (1-day / хайп): если уязвимость обсуждают в Twitter, на Reddit, в блогах, есть alert от CISA, то скорее всего, уязвимость уже массово эксплуатируют.
📍 Доступность сервиса: если сервис торчит наружу, вероятность атаки также возрастает.
📍 Бизнес-критичность: очевидно что на сервисе, который обрабатывает ПДН уязвимость необходимо исправлять быстрее, чем на статическом лендинге.
📍 Наличие патча: если патч есть — обновляемся, если нет смягчаем риски, например, с помощью WAF.
В зависимости от данных метрик можно построить свою матрицу с конкретными SLA для устранения тех или иных уязвимостей. Модель можно корректировать, например, при управлении множеством уязвимостей в рамках какой-то одной единицы. Например, вы используете базовый Docker-образ версии 1.1, где имеются сотни уязвимостей в пакетах — нет смысла анализировать каждую, если для устранения большинства необходимо обновить базовый образ до версии 2.0.
❣ Автоматизация и прозрачность:
Идеально, если все эти метрики живут не в голове аналитика, а интегрированы в единую платформу управления уязвимостями, где можно:
📍 фильтровать уязвимости по наличию эксплойта, доступности сервиса или бизнес-критичности;
📍 видеть текущее состояние безопасности в реальном времени, через дашборды;
📍 формировать приоритезированный бэклог и SLA на устранение;
📍 автоматизировать передачу задач в тикетницу.
Управление уязвимостями требует не только надежных сканеров, но и системы, способной централизованно обрабатывать, анализировать и приоритизировать обнаруженные угрозы. Для решения этих задач у нас в Авилликс есть собственная разработка — платформа ASOC (Application Security Operations Center), которая интегрируется с популярными сканерами уязвимостей и позволяет гибко подключать любые источники данных, будь то сканирования в рамках CI/CD-процессов или инфраструктурные проверки безопасности.
Внедрение ASOC или подобных ей инструментов значительно повышает эффективность управления уязвимостями, упрощая анализ, автоматизируя обработку данных и обеспечивая прозрачность процессов безопасности.
❣ Ключевые возможности ASOC:
📍 Централизованная обработка данных;
📍 Приоритизация уязвимостей;
📍 Полная видимость состояния безопасности в единой системе;
📍 Оценка эволюции безопасности;
📍 Гибкая аналитика и детализация данных.
Подробнее по каждому пункту, можно прочитать на сайте — https://awillix.ru/products/asoc
В зависимости от данных метрик можно построить свою матрицу с конкретными SLA для устранения тех или иных уязвимостей. Модель можно корректировать, например, при управлении множеством уязвимостей в рамках какой-то одной единицы. Например, вы используете базовый Docker-образ версии 1.1, где имеются сотни уязвимостей в пакетах — нет смысла анализировать каждую, если для устранения большинства необходимо обновить базовый образ до версии 2.0.
Идеально, если все эти метрики живут не в голове аналитика, а интегрированы в единую платформу управления уязвимостями, где можно:
Управление уязвимостями требует не только надежных сканеров, но и системы, способной централизованно обрабатывать, анализировать и приоритизировать обнаруженные угрозы. Для решения этих задач у нас в Авилликс есть собственная разработка — платформа ASOC (Application Security Operations Center), которая интегрируется с популярными сканерами уязвимостей и позволяет гибко подключать любые источники данных, будь то сканирования в рамках CI/CD-процессов или инфраструктурные проверки безопасности.
Внедрение ASOC или подобных ей инструментов значительно повышает эффективность управления уязвимостями, упрощая анализ, автоматизируя обработку данных и обеспечивая прозрачность процессов безопасности.
Подробнее по каждому пункту, можно прочитать на сайте — https://awillix.ru/products/asoc
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5❤3🔥3😁2
Подборка статей #pentestaward 2025 в журнале «Хакер»
❣️ Пробив WEB
«RainLoop. Проходим путь от шелла до кеша — через аттач» от автора hunter
«Go, ExifTool! Как я получил RCE на сервере через инъекцию аргументов ExifTool» от автора zerodivisi0n
❣️ Пробив инфраструктуры
«DCShadow для FreeIPA. Как DCSync привел меня к новой CVE» от Михаила Сухова (Im10n)
❣️ Мобильный разлом
«ATO в один клик. Как я нашел простой способ захватывать аккаунты в мобильном приложении» от автора mr4nd3r5on
«Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы» от автора Георгия Кумуржи (Russian_OSlNT)
❣️ Девайс
«Тачка на прокачку. Эксплуатируем RCE в головном устройстве автомобиля» от Александра Козлова и Сергея Ануфриенко
«Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II» от Владимира Кононовича (DrMefistO)
«I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры» от автора k3vg3n
❣️ Hack the logic
«Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition» от Григория Прохорова (grishxnder)
«One step to crit. Раскручиваем уязвимость в платежной логике» от Олега Лабынцева (OkiDoki)
❣️ Раз bypass, два bypass
«Time(less) LAPS. Закрепляем анонимный доступ к паролям локальных админов», автор Артемий Цецерский
«Сценарии байпаса. Пробуем перехитрить защитные средства для Windows», автор SmartGlue
«Глушилка для EDR. Обходим механизмы безопасности через Windows Filtering Platform», автор Human1231
❣️ Ловись рыбка
«OTP — не проблема!Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2» от Георгия Кумуржи (Russian_OSlNT)
«Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком», автор huyaker1337
❣️ Out of Scope
«Охота на идоров. Пьеса о защите данных в трех действиях», автор dmarushkin
«Ручная ищейка. Делаем свой Google для локальной сети», автор s0i37
«BloodHoundIPA. Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound», авторы N4m3U53r, Levatein, VlaDriev
«RainLoop. Проходим путь от шелла до кеша — через аттач» от автора hunter
«Go, ExifTool! Как я получил RCE на сервере через инъекцию аргументов ExifTool» от автора zerodivisi0n
«DCShadow для FreeIPA. Как DCSync привел меня к новой CVE» от Михаила Сухова (Im10n)
«ATO в один клик. Как я нашел простой способ захватывать аккаунты в мобильном приложении» от автора mr4nd3r5on
«Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы» от автора Георгия Кумуржи (Russian_OSlNT)
«Тачка на прокачку. Эксплуатируем RCE в головном устройстве автомобиля» от Александра Козлова и Сергея Ануфриенко
«Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II» от Владимира Кононовича (DrMefistO)
«I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры» от автора k3vg3n
«Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition» от Григория Прохорова (grishxnder)
«One step to crit. Раскручиваем уязвимость в платежной логике» от Олега Лабынцева (OkiDoki)
«Time(less) LAPS. Закрепляем анонимный доступ к паролям локальных админов», автор Артемий Цецерский
«Сценарии байпаса. Пробуем перехитрить защитные средства для Windows», автор SmartGlue
«Глушилка для EDR. Обходим механизмы безопасности через Windows Filtering Platform», автор Human1231
«OTP — не проблема!Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2» от Георгия Кумуржи (Russian_OSlNT)
«Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком», автор huyaker1337
«Охота на идоров. Пьеса о защите данных в трех действиях», автор dmarushkin
«Ручная ищейка. Делаем свой Google для локальной сети», автор s0i37
«BloodHoundIPA. Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound», авторы N4m3U53r, Levatein, VlaDriev
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍6❤5❤🔥1
Весной 41 кафедра НИЯУ МИФИ «Криптография и безопасность компьютерных систем» снова будет проводить неделю прикладной кибербезопасности «CyberFox».
Темы:
⚡️методы фаззинг-тестирования;
⚡️практические аспекты аппаратных атак;
⚡️уязвимости блокчейн;
⚡️проблемы безопасности доверенных мобильных платформ;
⚡️анализ безопасности мобильных ОС: Android, iOS;
⚡️анализ безопасности CPU/GPU
⚡️анализ безопасности автомобилей
⚡️анализ безопасности IoT
⚡️и другие
Если есть желание и возможность стать докладчиком, вэлком на регистрацию — https://cyberfox-week.com/cfp
Темы:
⚡️методы фаззинг-тестирования;
⚡️практические аспекты аппаратных атак;
⚡️уязвимости блокчейн;
⚡️проблемы безопасности доверенных мобильных платформ;
⚡️анализ безопасности мобильных ОС: Android, iOS;
⚡️анализ безопасности CPU/GPU
⚡️анализ безопасности автомобилей
⚡️анализ безопасности IoT
⚡️и другие
Если есть желание и возможность стать докладчиком, вэлком на регистрацию — https://cyberfox-week.com/cfp
🔥9❤5❤🔥3
This media is not supported in your browser
VIEW IN TELEGRAM
Записали подкаст Just Security с руководителем управления анализа защищенности, BI.ZONE — Михаилом Сидоруком.
🔥13❤4❤🔥1👎1😁1
Как думаете на какую тему был разговор?
Anonymous Poll
16%
Ответственные технические практики пентеста
17%
Профессиональный репортинг и коммуникация на проектах
24%
Red teaming
33%
Развитие ИБ-сообщества
60%
Тренды в offensive направления последних лет
Сообщество этичного хакинга в России двигается от хаотичного поиска багов к системности — такой вывод мы сделали обсуждая тренды, хорошие и плохие практики offensive security с Михаилом Сидоруком, руководителем управления анализа защищенности BI.ZONE.
Из подкаста вы узнаете:
❣ В чем заключаются ответственные технические практики пентеста.
❣ Как организованы репортинг и коммуникация в топовых компаниях.
❣ Чем профессионал отличается от новичка.
❣ Где искусственный интеллект уже вошел в повседневную рутину, а где создал новые риски.
❣ А также — 8 трендов индустрии, которые выделили специалисты по анализу защищенности.
📺 Смотрите видео на youtube — https://www.youtube.com/watch?v=uEonCJR4NnE
👁 Смотрите видео на rutube — https://rutube.ru/video/b231ce85b3d2c513f7eb01a1855708d3/
И даже на vkvideo тоже смотрите — https://vkvideo.ru/video-224604883_456239023
Из подкаста вы узнаете:
И даже на vkvideo тоже смотрите — https://vkvideo.ru/video-224604883_456239023
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5👍5❤🔥1👎1👏1
Pentest award 2026 открывает прием заявок!
Вновь у этичных хакеров появляется возможность громко заявить о своих достижениях. Можно снова делиться наработками, демонстрировать талант и профессионализм. Участники получают вдохновения и новые рабочие инсайты, а также развиваются за счет обмена уникальным опытом с коллегами со всей страны.
В этом году мы внедрили много нового, но участие, как всегда, остается бесплатным.
Главный приз за победу — макбук и статуэтка!
За вторые и третьи места призеры получат айфоны и смарт-часы.
Церемония награждения состоится 14 августа на Красном Октябре.
✨ Отправляйте заявки на сайте, участвуйте и побеждайте!
#pentestaward
Вновь у этичных хакеров появляется возможность громко заявить о своих достижениях. Можно снова делиться наработками, демонстрировать талант и профессионализм. Участники получают вдохновения и новые рабочие инсайты, а также развиваются за счет обмена уникальным опытом с коллегами со всей страны.
В этом году мы внедрили много нового, но участие, как всегда, остается бесплатным.
Главный приз за победу — макбук и статуэтка!
За вторые и третьи места призеры получат айфоны и смарт-часы.
Церемония награждения состоится 14 августа на Красном Октябре.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14❤6❤🔥2👍1
Во всем мире уже обсудили Claude Mythos, как нечто инновационное и меняющее реальность, очередного убийцу хакеров. Мы тоже решили высказаться, что думаем на этот счет.
Пока нет нормальных проверяемых цифр и сценариев, это скорее красивая упаковка под вечную боль индустрии. Они вкладывают огромные ресурсы в обучение, хотя спрос явно не бесконечный. Параллельно висит ожидание инвесторов: нужен видимый прогресс, пусть даже в презентациях и пресс-релизах. Логично залезть в security-нишу и продать историю «мы нашли дырки».
По сути там нет магии, которой не было бы в классической связке: ревью, анализ, тулзы. Вопрос в цене токенов и в том, насколько результат предсказуем и окупается вам, а не вендору.
Смешно выглядит ситуация: Mythos продают как security-прорыв не для масс, а следом выпускают публичную модель с просадкой по их же security-бенчам. По смыслу это очень удобно для продуктовой схемы: массовый API оставляют обычным, а отдельную, дорогую и контролируемую историю под security выделяют в отдельную нишу. Тогда «прорыв» не обязан совпадать с тем, что получают все пользователи. Он может жить как премиальный продукт, enterprise-нарратив и повод продавать отдельный доступ.
Про «хакеры умрут» мы уже слышали такое про программистов. Скорее поменяется инструментарий и рутина. Ответственность и здравый смысл никуда не денутся. В серьёзных проектах, таких как OpenJDK например, ветер дует в сторону ИИ, и это нормально для поиска и подсказок, но не как автозамена человеческому аудиту критичного кода.
Ещё один слой, который редко произносят вслух. Эти компании годами кормились нашими security-промптами, логами, кейсами и обратной связью от индустрии. На этом фоне легко собрать нарратив «мы сделали оружие для защиты». Но threat actor всё это время потенциально имел другой набор преимуществ: проприетарные black hat-данные, закрытые пайплайны и модели запредельного размера без необходимости красиво отчитываться перед публикой.
В итоге ситуация может сложиться такой, что защитник в организации живёт в режиме квот и процедур: оставить заявку, пройти верификации, попасть под чужое представление о том, как должен выглядеть нормальный безопасник — и только тогда, может быть, получить доступ к инструментам и знаниям, которые уже не первый день считаются чувствительными. Параллельно злоумышленники, с натренированными под себя моделями и без обязанности отчитываться, которые не упираются в корпоративный гейткипинг.
То, что мы видим скорее крошки с барского стола: удобно продавать, но плохо смешивать с иллюзией, что рынок только что изобрёл наступление, а злоумышленники до этого сидели без инструментов.
Пока нет нормальных проверяемых цифр и сценариев, это скорее красивая упаковка под вечную боль индустрии. Они вкладывают огромные ресурсы в обучение, хотя спрос явно не бесконечный. Параллельно висит ожидание инвесторов: нужен видимый прогресс, пусть даже в презентациях и пресс-релизах. Логично залезть в security-нишу и продать историю «мы нашли дырки».
По сути там нет магии, которой не было бы в классической связке: ревью, анализ, тулзы. Вопрос в цене токенов и в том, насколько результат предсказуем и окупается вам, а не вендору.
Смешно выглядит ситуация: Mythos продают как security-прорыв не для масс, а следом выпускают публичную модель с просадкой по их же security-бенчам. По смыслу это очень удобно для продуктовой схемы: массовый API оставляют обычным, а отдельную, дорогую и контролируемую историю под security выделяют в отдельную нишу. Тогда «прорыв» не обязан совпадать с тем, что получают все пользователи. Он может жить как премиальный продукт, enterprise-нарратив и повод продавать отдельный доступ.
Про «хакеры умрут» мы уже слышали такое про программистов. Скорее поменяется инструментарий и рутина. Ответственность и здравый смысл никуда не денутся. В серьёзных проектах, таких как OpenJDK например, ветер дует в сторону ИИ, и это нормально для поиска и подсказок, но не как автозамена человеческому аудиту критичного кода.
Ещё один слой, который редко произносят вслух. Эти компании годами кормились нашими security-промптами, логами, кейсами и обратной связью от индустрии. На этом фоне легко собрать нарратив «мы сделали оружие для защиты». Но threat actor всё это время потенциально имел другой набор преимуществ: проприетарные black hat-данные, закрытые пайплайны и модели запредельного размера без необходимости красиво отчитываться перед публикой.
В итоге ситуация может сложиться такой, что защитник в организации живёт в режиме квот и процедур: оставить заявку, пройти верификации, попасть под чужое представление о том, как должен выглядеть нормальный безопасник — и только тогда, может быть, получить доступ к инструментам и знаниям, которые уже не первый день считаются чувствительными. Параллельно злоумышленники, с натренированными под себя моделями и без обязанности отчитываться, которые не упираются в корпоративный гейткипинг.
То, что мы видим скорее крошки с барского стола: удобно продавать, но плохо смешивать с иллюзией, что рынок только что изобрёл наступление, а злоумышленники до этого сидели без инструментов.
❤8🔥4❤🔥1
Новинки в Pentest award 2026
За три года проведения премии и экспериментов с номинациями, мы накопили обратную связь от участников и членов жюри. Решили концептуально перестроить категории, чтобы добавить ясности и структуры. Если раньше заявки участников могли быть рассмотрены в нескольких номинациях одновременно, то сейчас распределение станет более четким благодаря понятному принципу — каждая номинация теперь отвечает на вопрос: «что именно мы оцениваем?».
Таким образом появилась долгожданная номинация — «Kill Chain». Ценность работ в этой номинации не в одной уязвимости, даже критичной, а в способности связать разнородные баги в сценарий атаки: от первоначального входа до достижения цели. Раньше такие кейсы подавались в категорию «Пробив инфраструктуры» и «Bypass». Теперь есть одна номинация посвященная цепочкам атак, которая объединяет веб-, инфраструктурные, сетевые и логические уязвимости. Ее курирует Совкомбанк Технологии.
Следующая новая номинация «Системный взлом» — преемник «Пробив web» и «Hack the logic». Сюда вошли уязвимости в веб-сервисах, API и других компонентах веб-приложений. Принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса. Эту номинацию курирует BIZONE Bug Bounty. Участникам номинации будут доступны приватные программы на платформе, а победителям дополнительно подарят билеты на конференцию OFFZONE.
И так как игнорировать влияние нейросетей на отрасль больше невозможно: за последний год атаки на LLM и AI-агенты перестали быть экзотикой. Рrompt injection, обход guardrails, эксплуатация tool use и RAG-пайплайнов — это самостоятельная дисциплина со своими техниками и своей моделью угроз. Добавилась новая номинация «AI» — за выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на AI-системы: чат-боты, AI-ассистенты, AI-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM. Использование AI, как инструмента для проведения атаки, не является основанием для подачи в эту номинацию, такие кейсы можно подать в другие номинации.
Для участия, оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
За три года проведения премии и экспериментов с номинациями, мы накопили обратную связь от участников и членов жюри. Решили концептуально перестроить категории, чтобы добавить ясности и структуры. Если раньше заявки участников могли быть рассмотрены в нескольких номинациях одновременно, то сейчас распределение станет более четким благодаря понятному принципу — каждая номинация теперь отвечает на вопрос: «что именно мы оцениваем?».
Таким образом появилась долгожданная номинация — «Kill Chain». Ценность работ в этой номинации не в одной уязвимости, даже критичной, а в способности связать разнородные баги в сценарий атаки: от первоначального входа до достижения цели. Раньше такие кейсы подавались в категорию «Пробив инфраструктуры» и «Bypass». Теперь есть одна номинация посвященная цепочкам атак, которая объединяет веб-, инфраструктурные, сетевые и логические уязвимости. Ее курирует Совкомбанк Технологии.
Следующая новая номинация «Системный взлом» — преемник «Пробив web» и «Hack the logic». Сюда вошли уязвимости в веб-сервисах, API и других компонентах веб-приложений. Принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса. Эту номинацию курирует BIZONE Bug Bounty. Участникам номинации будут доступны приватные программы на платформе, а победителям дополнительно подарят билеты на конференцию OFFZONE.
И так как игнорировать влияние нейросетей на отрасль больше невозможно: за последний год атаки на LLM и AI-агенты перестали быть экзотикой. Рrompt injection, обход guardrails, эксплуатация tool use и RAG-пайплайнов — это самостоятельная дисциплина со своими техниками и своей моделью угроз. Добавилась новая номинация «AI» — за выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на AI-системы: чат-боты, AI-ассистенты, AI-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM. Использование AI, как инструмента для проведения атаки, не является основанием для подачи в эту номинацию, такие кейсы можно подать в другие номинации.
Для участия, оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
❤🔥8❤3🔥2
Системный взлом (Web & Logic)
Новая номинация за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям. Номинация также охватывает обнаружение новых классов уязвимостей или значительное развитие существующего класса, применимых к множеству продуктов/стеков технологий.
Также принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.
✅ Например, сюда:
• Новый класс уязвимостей, применимый к множеству продуктов.
• Единичная уязвимость с глубоким анализом первопричины и системным значением (0-day с CVE).
• Нестандартный байпас аутентификации или авторизации с глубоким техническим анализом.
• Критическая логическая уязвимость с нетривиальным вектором эксплуатации.
❌ Не сюда:
• Цепочка из 2+ шагов в конкретной инфраструктуре — в номинацию Kill Chain
• Уязвимость конкретного устройства/прошивки без масштабируемости — Device
• Атака на AI/LLM систему — AI
• Bypass СЗИ, как часть пентест-цепочки — Kill Chain
Критерии оценки:
Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость.
Куратор номинации —🪲 Платформа Bug Bounty от BIZONE — это 150+ приватных и публичных программ, тысячи багхантеров, выплаты в течение 30 часов и много-много приятных бонусов.
Подавайте свои райтапы в эту номинацию на сайте 👈
#pentestaward
Новая номинация за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям. Номинация также охватывает обнаружение новых классов уязвимостей или значительное развитие существующего класса, применимых к множеству продуктов/стеков технологий.
Также принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.
• Новый класс уязвимостей, применимый к множеству продуктов.
• Единичная уязвимость с глубоким анализом первопричины и системным значением (0-day с CVE).
• Нестандартный байпас аутентификации или авторизации с глубоким техническим анализом.
• Критическая логическая уязвимость с нетривиальным вектором эксплуатации.
• Цепочка из 2+ шагов в конкретной инфраструктуре — в номинацию Kill Chain
• Уязвимость конкретного устройства/прошивки без масштабируемости — Device
• Атака на AI/LLM систему — AI
• Bypass СЗИ, как часть пентест-цепочки — Kill Chain
Критерии оценки:
Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость.
Куратор номинации —
Подавайте свои райтапы в эту номинацию на сайте 👈
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4❤🔥2
Kill Chain
Номинация за мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки.
✅ Например, сюда:
• Пентест с цепочкой initial access - lateral movement - domain admin
• Эксплуатация веб-уязвимости - выход на сервер - пивот в AD
• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту
• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре
❌ Не сюда:
• Единичная критическая уязвимость (даже RCE) — Системный взлом или Out of Scope
• Две связанные уязвимости без третьего шага — Системный взлом
• Эксплуатация уязвимости физического устройства (прошивка, аппаратный интерфейс, IoT-девайс) — Device
• Атака на AI/LLM — AI
Критерии оценки:
Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки.
🔵 Номинация появилась благодаря Совкомбанк Технологии — это ИТ-компания, аккредитованная Минцифры, входящая в Группу одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз. В команде ценят инициативу, развитие и менторство — эти принципы близки миссии Pentest Award, направленной на развитие профессионального сообщества и популяризацию профессии этичного хакера. Поэтому в 2026 году Совкомбанк Технологии во второй раз становятся партнёром премии.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Номинация за мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки.
• Пентест с цепочкой initial access - lateral movement - domain admin
• Эксплуатация веб-уязвимости - выход на сервер - пивот в AD
• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту
• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре
• Единичная критическая уязвимость (даже RCE) — Системный взлом или Out of Scope
• Две связанные уязвимости без третьего шага — Системный взлом
• Эксплуатация уязвимости физического устройства (прошивка, аппаратный интерфейс, IoT-девайс) — Device
• Атака на AI/LLM — AI
Критерии оценки:
Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4❤🔥4
Out of Scope
Номинация за нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF, SIEM и т.д.) и любые другие значимые кейсы. Если ваш кейс ценен, но вы не можете определить подходящую номинацию — эта номинация для вас.
✅ Например, сюда:
• Собственный инструмент для пентеста с демонстрацией результатов
• Оригинальный фишинг или social engineering
• Физический пентест (проникновение на объект, клонирование пропусков)
• Нестандартная автоматизация, методология, фреймворк
• Ценный кейс, не подходящий под критерии Kill Chain / Системный взлом / Device / AI
• Новая методология обхода WAF/EDR без привязки к конкретному проекту
• Исследование криптографического алгоритма с доказательством слабости
Критерии оценки:
Оригинальность, практическая значимость, вклад в развитие сообщества.
👉 Номинация спонсируется PT Dephaze — автопентест для оценки уровня защищенности внутренней инфраструктуры. Проводит разведку, выявляет уязвимости и небезопасные конфигурации, эксплуатирует их в конкретном окружении и оценивает эффективность средств защиты.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Номинация за нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF, SIEM и т.д.) и любые другие значимые кейсы. Если ваш кейс ценен, но вы не можете определить подходящую номинацию — эта номинация для вас.
• Собственный инструмент для пентеста с демонстрацией результатов
• Оригинальный фишинг или social engineering
• Физический пентест (проникновение на объект, клонирование пропусков)
• Нестандартная автоматизация, методология, фреймворк
• Ценный кейс, не подходящий под критерии Kill Chain / Системный взлом / Device / AI
• Новая методология обхода WAF/EDR без привязки к конкретному проекту
• Исследование криптографического алгоритма с доказательством слабости
Критерии оценки:
Оригинальность, практическая значимость, вклад в развитие сообщества.
👉 Номинация спонсируется PT Dephaze — автопентест для оценки уровня защищенности внутренней инфраструктуры. Проводит разведку, выявляет уязвимости и небезопасные конфигурации, эксплуатирует их в конкретном окружении и оценивает эффективность средств защиты.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥6❤6🔥4
За последний год атаки на LLM и AI-агенты перестали быть экзотикой. Если вам есть чем похвастаться в сфере пентеста нейросетей, милости просим в номинанты — award.awillix.ru
Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали скрыты, важно отразить сам подход и идею.
Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч, рекомендации по устранению и другие особенности.
#pentestaward
Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали скрыты, важно отразить сам подход и идею.
Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч, рекомендации по устранению и другие особенности.
#pentestaward
🔥5❤3❤🔥3
Четвертый год дарим макбуки за красивые глаза райтапы 🏆
Каждый год участники Pentest award делают вклад в развитие ИБ-рынка. Обсуждая интересные новые практики, мы увеличиваем количество компетентных специалистов по всей стране и развиваемся сами в компании единомышленников.
Такой вклад должен поощряться. За победу в каждой номинации участники как всегда получают MacBook, за второе место — iPhone, за третье — Apple Watch.
Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом. Или быть финалистом прошлых лет. Попадание в шорт-лист — это уже очень почетно! Десятке сильнейших участников выдаются сертификаты.
🏃 Торопитесь отправлять заявки, осталось не так много времени — award.awillix.ru
#pentestaward
Каждый год участники Pentest award делают вклад в развитие ИБ-рынка. Обсуждая интересные новые практики, мы увеличиваем количество компетентных специалистов по всей стране и развиваемся сами в компании единомышленников.
Такой вклад должен поощряться. За победу в каждой номинации участники как всегда получают MacBook, за второе место — iPhone, за третье — Apple Watch.
Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом. Или быть финалистом прошлых лет. Попадание в шорт-лист — это уже очень почетно! Десятке сильнейших участников выдаются сертификаты.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥6❤5🔥3🥰2
Standoff Talks пройдет 18–19 июня
Программа для комьюнити готова. Будут доклады профи, мастер-классы, конкурсы и возможность увидеть кибербитву своими глазами.
Организаторы обещают интересную программу и приятную летнюю атмосферу. Поторопитесь, чтобы забрать проходку себе: места заканчиваются быстрее, чем пиво на афтепати :)
➡ Зарегистрироваться 👈
P. S. Кибербитва гремит все четыре дня, но первые два — время бизнес-программы. А вот 18–19 июня — основной движ. Пригоняй🔥
Программа для комьюнити готова. Будут доклады профи, мастер-классы, конкурсы и возможность увидеть кибербитву своими глазами.
Организаторы обещают интересную программу и приятную летнюю атмосферу. Поторопитесь, чтобы забрать проходку себе: места заканчиваются быстрее, чем пиво на афтепати :)
P. S. Кибербитва гремит все четыре дня, но первые два — время бизнес-программы. А вот 18–19 июня — основной движ. Пригоняй
Please open Telegram to view this post
VIEW IN TELEGRAM
👌3🔥2❤1❤🔥1