В Москве прошло награждение первой в России премии для этичных хакеров

3 августа прошла церемония награждения Pentest award – премии для специалистов по тестированию на проникновение. Awillix сделали Pentest Awards, чтобы этичные хакеры смогли заявить о себе, рассказать о достижениях и получить признание отрасли.

Для участия специалисты оставляли заявки с обезличенным рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив. Все заявки распределялись по следующим номинациям:

• «Пробив» — За самый интересный пробив внешней инфраструктуры компании с помощью технических и логических уязвимостей. Приоритет за разработкой собственных эксплойтов без использование социотехнических методов.
• «**ck the logic» — За находку самых топовых логических баг.
• «Раз bypass, два bypass» — За самый красивый обход средств защиты информации.
• «Ловись рыбка» — За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.

«Каждый может воспринимать эту премию по своему. Для кого-то это способ заявить о себе. Для других – возможность получить приятный приз. Для третьих – повод встретиться и пообщаться с единомышленниками. Для меня премия – это в первую очередь обмен опытом, идеями, забавными и интересными историями. Надеюсь, что это подтолкнет больше людей делиться своими историями и наработками, а организаторы разовьют тему открытого микрофона на церемонии награждения». – рассказывает один из членов жюри Павел Топорков (Paul Axe) – независимый исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.

В номинации «Пробив» победил byqwert с кейсом «Как за неделю превратить Open redirect в RCE».

Второе место занял fr35b1 с кейсом «Пентест сервисов внешнего
периметра без предоставления учётных записей, в ходе которого был получен доступ к объекту внутренней сети с использованием NTLM Relay».

Третье место – WizaXxX «Пробив одного из крупнейших банков. Точка входа — мобильное приложение».

В номинации «Раз bypass, два bypass» победил snovvcrash с кейсом «От DLL Proxying до загрузки вредоносного SSP».

Второе место занял W0lFreaK с кейсом «Reverse shell на Haskell и собственный шифрованный канал связи для обхода актуальной версии АВПО».

Третье место – maledictos «Bitrix с известной уязвимостью – возможность выполнения произвольного кода и обход СЗИ».

В номинации «**ck the logic» победил i_bo0om c кейсом «Абьюз работы токенов на основе временных меток».

Второе место занял byqwert с кейсом «Двухмесячная история попадания в админку — из минорный баги до race condition».

Третье место – Danr0 – «Захват аккаунтов в мобильном приложении социальной сети».

В номинации «Ловись рыбка» победил dmarushkin c кейсом «Социалка с ChatGPT».

Второе место занял UstinovAlexander с кейсом «Эмуляция windows в браузере».

И третье – snovvcrash «Злоупотребление установкой VS Code для LPE».

«Есть различные конференции, системы баг-баунти, где поощряют ИБ-специалистов. Но, чтобы про них рассказали и показали на всю страну о том, что они самые лучшие в своей теме, нет. Поэтому мы решили сделать свой вклад в комьюнити. Попадание в шорт-лист этой премии – уже почетно!» – Александр Герасимов CISO Awillix, сооснователь Pentest award.

За первое место подарили MacBook, за второе — iPhone, за третье — Apple Watch.

«Считаю эту премию важной для развития нашего комьюнити. Надеюсь, что проведение этой премии станет доброй традицией!» – Михаил Сидорук, руководитель управления анализа защищенности BI.ZONE.

Всего участники подали около 100 заявок, из них прошли первичный отсев 71. Победители во всех номинациях показали по-настоящему уникальные примеры незаурядных и профессиональных решений. Awillix анонсирует, что премия будет проводиться каждый год, расширяя свою аудиторию и число участников.