Системный взлом (Web & Logic)
Новая номинация за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям. Номинация также охватывает обнаружение новых классов уязвимостей или значительное развитие существующего класса, применимых к множеству продуктов/стеков технологий.
Также принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.
✅ Например, сюда:
• Новый класс уязвимостей, применимый к множеству продуктов.
• Единичная уязвимость с глубоким анализом первопричины и системным значением (0-day с CVE).
• Нестандартный байпас аутентификации или авторизации с глубоким техническим анализом.
• Критическая логическая уязвимость с нетривиальным вектором эксплуатации.
❌ Не сюда:
• Цепочка из 2+ шагов в конкретной инфраструктуре — в номинацию Kill Chain
• Уязвимость конкретного устройства/прошивки без масштабируемости — Device
• Атака на AI/LLM систему — AI
• Bypass СЗИ, как часть пентест-цепочки — Kill Chain
Критерии оценки:
Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость.
Куратор номинации —🪲 Платформа Bug Bounty от BIZONE — это 150+ приватных и публичных программ, тысячи багхантеров, выплаты в течение 30 часов и много-много приятных бонусов.
Подавайте свои райтапы в эту номинацию на сайте 👈
#pentestaward
Новая номинация за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям. Номинация также охватывает обнаружение новых классов уязвимостей или значительное развитие существующего класса, применимых к множеству продуктов/стеков технологий.
Также принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.
• Новый класс уязвимостей, применимый к множеству продуктов.
• Единичная уязвимость с глубоким анализом первопричины и системным значением (0-day с CVE).
• Нестандартный байпас аутентификации или авторизации с глубоким техническим анализом.
• Критическая логическая уязвимость с нетривиальным вектором эксплуатации.
• Цепочка из 2+ шагов в конкретной инфраструктуре — в номинацию Kill Chain
• Уязвимость конкретного устройства/прошивки без масштабируемости — Device
• Атака на AI/LLM систему — AI
• Bypass СЗИ, как часть пентест-цепочки — Kill Chain
Критерии оценки:
Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость.
Куратор номинации —
Подавайте свои райтапы в эту номинацию на сайте 👈
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4❤🔥2
Kill Chain
Номинация за мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки.
✅ Например, сюда:
• Пентест с цепочкой initial access - lateral movement - domain admin
• Эксплуатация веб-уязвимости - выход на сервер - пивот в AD
• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту
• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре
❌ Не сюда:
• Единичная критическая уязвимость (даже RCE) — Системный взлом или Out of Scope
• Две связанные уязвимости без третьего шага — Системный взлом
• Эксплуатация уязвимости физического устройства (прошивка, аппаратный интерфейс, IoT-девайс) — Device
• Атака на AI/LLM — AI
Критерии оценки:
Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки.
🔵 Номинация появилась благодаря Совкомбанк Технологии — это ИТ-компания, аккредитованная Минцифры, входящая в Группу одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз. В команде ценят инициативу, развитие и менторство — эти принципы близки миссии Pentest Award, направленной на развитие профессионального сообщества и популяризацию профессии этичного хакера. Поэтому в 2026 году Совкомбанк Технологии во второй раз становятся партнёром премии.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Номинация за мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки.
• Пентест с цепочкой initial access - lateral movement - domain admin
• Эксплуатация веб-уязвимости - выход на сервер - пивот в AD
• Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту
• Комбинация сетевой и веб-атаки с продвижением по инфраструктуре
• Единичная критическая уязвимость (даже RCE) — Системный взлом или Out of Scope
• Две связанные уязвимости без третьего шага — Системный взлом
• Эксплуатация уязвимости физического устройства (прошивка, аппаратный интерфейс, IoT-девайс) — Device
• Атака на AI/LLM — AI
Критерии оценки:
Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4❤🔥4
Out of Scope
Номинация за нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF, SIEM и т.д.) и любые другие значимые кейсы. Если ваш кейс ценен, но вы не можете определить подходящую номинацию — эта номинация для вас.
✅ Например, сюда:
• Собственный инструмент для пентеста с демонстрацией результатов
• Оригинальный фишинг или social engineering
• Физический пентест (проникновение на объект, клонирование пропусков)
• Нестандартная автоматизация, методология, фреймворк
• Ценный кейс, не подходящий под критерии Kill Chain / Системный взлом / Device / AI
• Новая методология обхода WAF/EDR без привязки к конкретному проекту
• Исследование криптографического алгоритма с доказательством слабости
Критерии оценки:
Оригинальность, практическая значимость, вклад в развитие сообщества.
👉 Номинация спонсируется PT Dephaze — автопентест для оценки уровня защищенности внутренней инфраструктуры. Проводит разведку, выявляет уязвимости и небезопасные конфигурации, эксплуатирует их в конкретном окружении и оценивает эффективность средств защиты.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Номинация за нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF, SIEM и т.д.) и любые другие значимые кейсы. Если ваш кейс ценен, но вы не можете определить подходящую номинацию — эта номинация для вас.
• Собственный инструмент для пентеста с демонстрацией результатов
• Оригинальный фишинг или social engineering
• Физический пентест (проникновение на объект, клонирование пропусков)
• Нестандартная автоматизация, методология, фреймворк
• Ценный кейс, не подходящий под критерии Kill Chain / Системный взлом / Device / AI
• Новая методология обхода WAF/EDR без привязки к конкретному проекту
• Исследование криптографического алгоритма с доказательством слабости
Критерии оценки:
Оригинальность, практическая значимость, вклад в развитие сообщества.
👉 Номинация спонсируется PT Dephaze — автопентест для оценки уровня защищенности внутренней инфраструктуры. Проводит разведку, выявляет уязвимости и небезопасные конфигурации, эксплуатирует их в конкретном окружении и оценивает эффективность средств защиты.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥6❤6🔥4
За последний год атаки на LLM и AI-агенты перестали быть экзотикой. Если вам есть чем похвастаться в сфере пентеста нейросетей, милости просим в номинанты — award.awillix.ru
Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали скрыты, важно отразить сам подход и идею.
Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч, рекомендации по устранению и другие особенности.
#pentestaward
Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали скрыты, важно отразить сам подход и идею.
Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч, рекомендации по устранению и другие особенности.
#pentestaward
🔥5❤3❤🔥3
Четвертый год дарим макбуки за красивые глаза райтапы 🏆
Каждый год участники Pentest award делают вклад в развитие ИБ-рынка. Обсуждая интересные новые практики, мы увеличиваем количество компетентных специалистов по всей стране и развиваемся сами в компании единомышленников.
Такой вклад должен поощряться. За победу в каждой номинации участники как всегда получают MacBook, за второе место — iPhone, за третье — Apple Watch.
Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом. Или быть финалистом прошлых лет. Попадание в шорт-лист — это уже очень почетно! Десятке сильнейших участников выдаются сертификаты.
🏃 Торопитесь отправлять заявки, осталось не так много времени — award.awillix.ru
#pentestaward
Каждый год участники Pentest award делают вклад в развитие ИБ-рынка. Обсуждая интересные новые практики, мы увеличиваем количество компетентных специалистов по всей стране и развиваемся сами в компании единомышленников.
Такой вклад должен поощряться. За победу в каждой номинации участники как всегда получают MacBook, за второе место — iPhone, за третье — Apple Watch.
Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом. Или быть финалистом прошлых лет. Попадание в шорт-лист — это уже очень почетно! Десятке сильнейших участников выдаются сертификаты.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥6❤5🔥3🥰2
Standoff Talks пройдет 18–19 июня
Программа для комьюнити готова. Будут доклады профи, мастер-классы, конкурсы и возможность увидеть кибербитву своими глазами.
Организаторы обещают интересную программу и приятную летнюю атмосферу. Поторопитесь, чтобы забрать проходку себе: места заканчиваются быстрее, чем пиво на афтепати :)
➡ Зарегистрироваться 👈
P. S. Кибербитва гремит все четыре дня, но первые два — время бизнес-программы. А вот 18–19 июня — основной движ. Пригоняй🔥
Программа для комьюнити готова. Будут доклады профи, мастер-классы, конкурсы и возможность увидеть кибербитву своими глазами.
Организаторы обещают интересную программу и приятную летнюю атмосферу. Поторопитесь, чтобы забрать проходку себе: места заканчиваются быстрее, чем пиво на афтепати :)
P. S. Кибербитва гремит все четыре дня, но первые два — время бизнес-программы. А вот 18–19 июня — основной движ. Пригоняй
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👌3❤1❤🔥1
Состав жюри Pentest Award 2026 ⭐️
Наш независимый совет жюри как всегда состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Ответственно и непредвзято они будут вычитывать и оценивать ваши заявки. Затем проголосовав и посовещавшись, представят нам шорт-лист участников с высокими оценками. А дальше мы все встретимся на грандиозной церемонии, чтобы наградить самых выдающихся пентестеров этого года и узнать, кто в этот раз заберет почетные награды.
⚡️ Сбор заявок открыт до 12 июля, торопитесь — award.awillix.ru
#pentestaward
Наш независимый совет жюри как всегда состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Ответственно и непредвзято они будут вычитывать и оценивать ваши заявки. Затем проголосовав и посовещавшись, представят нам шорт-лист участников с высокими оценками. А дальше мы все встретимся на грандиозной церемонии, чтобы наградить самых выдающихся пентестеров этого года и узнать, кто в этот раз заберет почетные награды.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥6❤🔥2👍1
Сделали статью по мотивам нашего подкаста с Михаилом Сидоруком из BIZONE о трендах offensive security последних лет. Можно прочитать главное на страницах «Киберболоида» или посмотреть полный выпуск тут, если еще не видели :)
Telegram
Just Security
Сообщество этичного хакинга в России двигается от хаотичного поиска багов к системности — такой вывод мы сделали обсуждая тренды, хорошие и плохие практики offensive security с Михаилом Сидоруком, руководителем управления анализа защищенности BI.ZONE.
…
…
🔥4❤2❤🔥1
Forwarded from Киберболоид
Главные тренды offensive security:
🟠 Нейросети для пентеста, реверса и написания кода
🟠 Обязательный R&D перед началом работ
🟠 Новый взлёт аппаратного хакинга
🟠 Особенности импортозамещённой инфраструктуры
🟠 Собственные автоматизаторы для работы
🟠 Фокус на цепочки уязвимостей
🟠 Влияние теневого ИИ
➡️ Наступательная безопасность переживает сдвиг: старые правила поиска уязвимостей больше не работают в чистом виде, а новые подходы только формируются.
Сооснователь Awillix, автор телеграм-канала и подкаста Just Security Александр Герасимов и руководитель управления анализа защищённости BIZONE Михаил Сидорук рассказали в новой статье «Киберболоида» о том, как и куда развивается offensive security.
#киберболоид #тренды
Сооснователь Awillix, автор телеграм-канала и подкаста Just Security Александр Герасимов и руководитель управления анализа защищённости BIZONE Михаил Сидорук рассказали в новой статье «Киберболоида» о том, как и куда развивается offensive security.
#киберболоид #тренды
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥3❤🔥2
Информационные партнеры Pentest award 2026 ✨
Сообщества в тематике этичного хакинга и около него, которые поддержали ежегодную премию для пентестеров в этом году. Рекомендуем ознакомиться и подписаться, если еще не успели.
🗂 Или подписаться сразу на всю папку — https://t.me/addlist/AIBn5sym0W1hZjFi
Standoff 365
BIZONE bug bounty
OFFZONE
Zeronight
Хакер
Кибермедиа
CISO CLUB
Security lab
Information security
BIS Journal
ICT online
ИТ-инфраструктура
Киберболоид
Global digital space
Инфобезопасность
ISCRA
Hivetrace
Яндекс bug bounty
УЦСБ
Мероприятия по ИБ
МИФИ
Ruscadasec
Ethical Machines
Пакет Безопасности
Mobile AppSec World
SHADOW:Group
PRO:PENTEST
Offensive Xwitter
AP Security
BugXplorer
white2hack
Что-то на пентестерском
APT
Blue (h/c)at Café
GigaHackers
Ильдар пишет
AlexRedSec
Whitehat Lab
КиберДед official
Hack IT Easy
PurpleBear
DUCKERZ
PWN AI
вольтаж
КапИБара. Подкаст нулевого дня
Cпасите Нарциско
Культ Безопасности
Пентестинг
🤔 Делитесь своими наработками — award.awillix.ru
#pentestaward
Сообщества в тематике этичного хакинга и около него, которые поддержали ежегодную премию для пентестеров в этом году. Рекомендуем ознакомиться и подписаться, если еще не успели.
Standoff 365
BIZONE bug bounty
OFFZONE
Zeronight
Хакер
Кибермедиа
CISO CLUB
Security lab
Information security
BIS Journal
ICT online
ИТ-инфраструктура
Киберболоид
Global digital space
Инфобезопасность
ISCRA
Hivetrace
Яндекс bug bounty
УЦСБ
Мероприятия по ИБ
МИФИ
Ruscadasec
Ethical Machines
Пакет Безопасности
Mobile AppSec World
SHADOW:Group
PRO:PENTEST
Offensive Xwitter
AP Security
BugXplorer
white2hack
Что-то на пентестерском
APT
Blue (h/c)at Café
GigaHackers
Ильдар пишет
AlexRedSec
Whitehat Lab
КиберДед official
Hack IT Easy
PurpleBear
DUCKERZ
PWN AI
вольтаж
КапИБара. Подкаст нулевого дня
Cпасите Нарциско
Культ Безопасности
Пентестинг
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥6❤🔥5❤2
Записали новый выпуск подкаста Just Security с Павлом Чернышевым, руководителем Red Team в ГК Совкомбанк.
Обсудили модели нарушителей и специфику угроз в финтехе: от сканеров и ИИ до инсайдеров с доступом ко всему. А также поговорили о недопустимых событиях и рискориентированном подходе, о реальных атаках и инструментах. Надеемся, что получиться, как всегда, интересно и полезно!
👉 Подписывайтесь на канал, чтобы не пропустить выход выпуска — https://www.youtube.com/@awillix_security
Обсудили модели нарушителей и специфику угроз в финтехе: от сканеров и ИИ до инсайдеров с доступом ко всему. А также поговорили о недопустимых событиях и рискориентированном подходе, о реальных атаках и инструментах. Надеемся, что получиться, как всегда, интересно и полезно!
👉 Подписывайтесь на канал, чтобы не пропустить выход выпуска — https://www.youtube.com/@awillix_security
🔥7❤6❤🔥3
Прием заявок на Pentest Award продлится до 12 июля🔥
Много крутых специалистов уже отправили свои кейсы. Не устанем повторять, что наши участники самые смелые и инициативные представители индустрии. Кто еще сомневается, присоединяйтесь, участвуйте!
👉 Отправить работу 👈
Не упускайте шанс получить признание, классные призы и просто провести время на закрытой церемонии награждения вместе с топовыми представителями отрасли. Вручении состоится в августе, в зале на «Красном Октябре» с панорамной террасой с видом на набережную и город. После торжественной части будем наслаждаться закатами, кальянами и секретничать про оффенсив :)
Участие бесплатное. Больше информации на сайте — award.awillix.ru
Много крутых специалистов уже отправили свои кейсы. Не устанем повторять, что наши участники самые смелые и инициативные представители индустрии. Кто еще сомневается, присоединяйтесь, участвуйте!
👉 Отправить работу 👈
Не упускайте шанс получить признание, классные призы и просто провести время на закрытой церемонии награждения вместе с топовыми представителями отрасли. Вручении состоится в августе, в зале на «Красном Октябре» с панорамной террасой с видом на набережную и город. После торжественной части будем наслаждаться закатами, кальянами и секретничать про оффенсив :)
Участие бесплатное. Больше информации на сайте — award.awillix.ru
🔥5❤🔥2❤2👍2👌1