Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Состоялась третья ежегодная церемония награждения Pentest award. Ознакомиться с работами победителей во всех подробностях ты сможешь уже этой осенью на страницах «Хакера».
— отраслевая награда для специалистов по тестированию на проникновение, которую ежегодно вручает компания «Авилликс», которая специализируется на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста.
В этом году мероприятие прошло уже в третий раз. Как отмечают организаторы, с каждым годом появляется больше номинаций, участников и партнеров, что позволяет сообществу развиваться, делиться опытом и находить новые рабочие инсайты.
Заявка на участие в Pentest award — это рассказ о лучшем пентест-проекте в свободной форме. От участников не требуется раскрывать эксплоиты: любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали остаться скрыты. Важен сам подход и идея.
Главным призом за победу была стеклянная именная статуэтка, MacBook, билеты на конференцию OFFZONE и, конечно, максимальный почет сообщества этичных хакеров. За вторые и третьи места победили получили iPhone и смарт-часы.
Номинация «Пробив WEB»
В этой номинации соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.
Победители
Рейтинги остальных финалистов
Призеров этой номинации награждают за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая сетевые устройства, сетевые сервисы и IoT-устройства. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Победители
Рейтинги остальных финалистов
В этой номинации оценивается мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами (включая как традиционные смартфоны и планшеты, так и носимые устройства).
Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.
Победители
Рейтинги остальных финалистов
В этой номинации награждают за выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая контроллеры, мобильные устройства, банкоматы, камеры, МФУ и так далее.
Победители
Рейтинги остальных финалистов
Участники этой номинации должны были продемонстрировать самый красивый обход средств защиты информации.
Победители
Рейтинги остальных финалистов
Здесь оценивались самый оригинальный фишинг или попытка засоциалить сотрудников. Учитывалось всё: нагрузка, текст фишинга и использование нестандартных инструментов.
Победители
Рейтинги остальных финалистов
В этой категории оценивалось обнаружение самых топовых логических багов.
Победители
Рейтинги остальных финалистов
В этой номинации участники демонстрировали находки и открытия в области наступательной кибербезопасности, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ.
Победители
Рейтинги остальных финалистов
Напоминаем, что работы победителей прошлого года были собраны в . А кейсы победителей Pentest award 2025 года появятся на страницах «Хакера» в ближайшее время. Первая публикация уже вышла сегодня: «».
— отраслевая награда для специалистов по тестированию на проникновение, которую ежегодно вручает компания «Авилликс», которая специализируется на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста.
В этом году мероприятие прошло уже в третий раз. Как отмечают организаторы, с каждым годом появляется больше номинаций, участников и партнеров, что позволяет сообществу развиваться, делиться опытом и находить новые рабочие инсайты.
Заявка на участие в Pentest award — это рассказ о лучшем пентест-проекте в свободной форме. От участников не требуется раскрывать эксплоиты: любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали остаться скрыты. Важен сам подход и идея.
Главным призом за победу была стеклянная именная статуэтка, MacBook, билеты на конференцию OFFZONE и, конечно, максимальный почет сообщества этичных хакеров. За вторые и третьи места победили получили iPhone и смарт-часы.
Номинация «Пробив WEB»
В этой номинации соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.
Победители
- 1 место: hunter — «RainLoop: от шелла через аттач, до кэша в инбоксе».
- 2 место: dan_bogom — «It’s just XSS, don’t worry».
- 3 место: zerodivisi0n — «Уязвимость удаленного выполнения кода через инъекцию аргументов exiftool».
Рейтинги остальных финалистов
- oleg_ulanoff — 262
- A32s51 — 259
- kiriknik — 257
- baksist — 242
- Nmikryukov — 219
- Oki4_Doki & VlaDriev — 210
- alexxandr7 — 207
Призеров этой номинации награждают за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая сетевые устройства, сетевые сервисы и IoT-устройства. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Победители
- 1 место: Михаил Сухов (Im10n) — «Ресерч FreeIPA, как DCSync привел к CVE-2025-4404».
- 2 место: Георгий Геннадьев (D00Movenok) — «Реверс и обход механизмов защиты VPN-клиента и взятие домена встроенными средствами Windows на ограниченной BYOD RDG машине».
- 3 место: irabva — «Пентест крупной промышленной компании».
Рейтинги остальных финалистов
- VeeZy — 289
- Cyber_Ghst — 274
- AY_Serkov — 273
- Im10n — 261
- Alevuc — 256
- dontunique — 241
В этой номинации оценивается мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами (включая как традиционные смартфоны и планшеты, так и носимые устройства).
Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.
Победители
- 1 место: Сергей Арефьев — «Цепочка уязвимостей, позволяющая обойти локальную авторизацию, получить API-токены и записывать файлы на устройство».
- 2 место: mr4nd3r5on — «1-click ATO from mobile app».
- 3 место: Георгий Кумуржи (
OSlNT) — «Доступ к корпоративным веб-ресурсам организации из Интернета от лица произвольного работника с помощью эксплуатации уязвимого API корпоративного мобильного приложения».
Рейтинги остальных финалистов
- Nmikryukov — 201
- mad3e7cat — 186
- Byte_Wizard — 172
В этой номинации награждают за выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая контроллеры, мобильные устройства, банкоматы, камеры, МФУ и так далее.
Победители
- 1 место: Александр Козлов и Сергей Ануфриенко авторы двух победивших кейсов — «Тачка на прокачку: RCE в ГУ вашего автомобиля» и «RCE в телематическом блоке автомобиля всего за одно SMS-сообщение».
- 2 место: Владимир Кононович (DrMefistO) — «Вскрытие домофона».
- 3 место: k3vg3n — «Цепочка уязвимостей в китайской компании».
Рейтинги остальных финалистов
- bearsec — 165
- N3tn1la — 148
Участники этой номинации должны были продемонстрировать самый красивый обход средств защиты информации.
Победители
- 1 место: Артемий Цецерский — «Time(less)-LAPS: сохранение анонимного доступа к паролям локальных админов на протяжении всего проекта».
- 2 место: SmartGlue — «Long Way: From Sandbox to Anti-Forensics With Love».
- 3 место: Human1231 — «Security bypass через WFР».
Рейтинги остальных финалистов
- Alevuc — 220
- vanja_b — 203
- Sol1v — 199
- tatutovich — 197
- VeeZy — 172
Здесь оценивались самый оригинальный фишинг или попытка засоциалить сотрудников. Учитывалось всё: нагрузка, текст фишинга и использование нестандартных инструментов.
Победители
- 1 место: Георгий Кумуржи (OSlNT) — «Evilginx2 и телеграмм-бот».
- 2 место: Alevuc и Maledictos — «Когда CRM — твой враг, а телеграм зло во плоти».
- 3 место: Артем Метельков — «Фишинг через supply chain».
Рейтинги остальных финалистов
- Oki4_Doki — 172
- p4n4m44v4k4d4 — 124
В этой категории оценивалось обнаружение самых топовых логических багов.
Победители
- 1 место: Григорий Прохоров — «Race Condition (Состояние гонки)».
- 2 место: Олег Лабынцев (OkiDoki) — «Уязвимость в платежной логике: реальное списание средств клиента по поддельным данным (оплата на произвольный договор без валидации данных) + массовая генерация чеков об оплате».
- 3 место: dan_bogom — «Client-side Backdoor in Real Cloud Storage Apps».
Рейтинги остальных финалистов
- AndrewYalta — 169
- crusher404 — 166
- w8boom — 165
- shdwpwn — 165
- iSavAnna — 162
- k3vg3n — 160
- matr0sk — 155
В этой номинации участники демонстрировали находки и открытия в области наступательной кибербезопасности, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ.
Победители
- 1 место: dmarushkin — «Охота на IDOR-ов»
- 2 место: s0i37 — «Google в локальной сети»
- 3 место: VlaDriev, Levatein, N4m3U53r — «BloodHound»
Рейтинги остальных финалистов
- andreukuznetsov — 58
- ValMor1251 — 58
- mr4nd3r5on — 55
- wearetyomsmnv — 53
- OSlNT — 53
- zavgorof — 52
- r0binak — 49
Запись трансляции церемонии награждения можно увидеть .
Напоминаем, что работы победителей прошлого года были собраны в . А кейсы победителей Pentest award 2025 года появятся на страницах «Хакера» в ближайшее время. Первая публикация уже вышла сегодня: «».