Pentest award 2023 – легендарные кадры!
Ищите себя, делитесь в соцсетях, показывайте маме, отмечайте нас #pentestaward
Спасибо каждому, кто принял участие в проекте, вы лучшие! У пентеста в России великое будущее, пока есть такие топовые неравнодушные специалисты, как вы!
🔗ссылка на фотоотчет
Ищите себя, делитесь в соцсетях, показывайте маме, отмечайте нас #pentestaward
Спасибо каждому, кто принял участие в проекте, вы лучшие! У пентеста в России великое будущее, пока есть такие топовые неравнодушные специалисты, как вы!
🔗ссылка на фотоотчет
amalashenko.ru
PENTEST AWARD
Фотограф Александр Малашенко
🔥12❤🔥5👍5🎉3⚡1🕊1
Новостной репортаж по следам церемонии награждения Pentest award. А кейсы финалистов проходят цензуру и скоро появятся в специальном выпуске журнала ][
stay tuned🙌
#pentestaward
stay tuned🙌
#pentestaward
Хабр
Лучших этичных хакеров России наградили премией
3 августа прошла церемония награждения Pentest award – премии для специалистов по тестированию на проникновение. Paul Axe награждает победителя номинации «Раз bypass, два bypass» Организаторы –...
❤10🔥6👍5⚡1
Крупнейшая ИТ-компания «Маленький софт» получила информацию о том, что в ближайшее время ее инфраструктура будет атакована известной группировкой СТРАХ (Специализированный Технический Ресурс Агрессивного Хакерства), АПТ-группой, которая уже прославилась рядом громких взломов.
Директор компании, решил обратиться к команде МОЗГИ (Модуль Оперативной Защиты Генеральной Информации), чтобы они провели расследование, вычислили преступников и помогли избежать фатальных последствий, ведь в случае удачной атаки пострадает не только Маленький Софт, но и их клиенты.
Так начнется панельная дискуссия уникального формата — D&D. Это ролевая игра в жанре фэнтези, сюжет которой связан с кибербезопасностью. Игроки и зрители поупражняются в остроумии, поделятся реальными и выдуманными кейсами и повеселятся от души.
Чтобы узнать победят ли «МОЗГИ» «СТРАХ» приходи в ангар на конференции OFFZONE в 16:00 оба дня мероприятия!
Директор компании, решил обратиться к команде МОЗГИ (Модуль Оперативной Защиты Генеральной Информации), чтобы они провели расследование, вычислили преступников и помогли избежать фатальных последствий, ведь в случае удачной атаки пострадает не только Маленький Софт, но и их клиенты.
Так начнется панельная дискуссия уникального формата — D&D. Это ролевая игра в жанре фэнтези, сюжет которой связан с кибербезопасностью. Игроки и зрители поупражняются в остроумии, поделятся реальными и выдуманными кейсами и повеселятся от души.
Чтобы узнать победят ли «МОЗГИ» «СТРАХ» приходи в ангар на конференции OFFZONE в 16:00 оба дня мероприятия!
🔥11❤🔥3👍3⚡1
Насыщенные дни Awillix перед викендом 🔓
• Сегодня наш специалист Алексей Висторобский выступил на OFFZONE с докладом «Nuclei: расширяем возможности современных методов проведения пентеста».
•Вчера наш специалист Игорь Ландырев с представителем blue team из Solid lab провели совместный доклад на тему «Фиолетовый — цвет боли!» о том, как стадии redteam выглядят глазами красных и синих команд.
• Наконец, наш самый молодой и самый активный специалист Сергей Зыбнев первым взял доменного админа двумя разными векторами в CTF от Jet!
• Оба дня конференции мы проводили панельную дискуссию в формате ролевой игры Dungeons & Dragons, сюжет которой связан с кибербезопасностью.
• А наш CISO Александр Герасимов успел на партнерскую конференцию AGIMA Partners' Weekend и рассказал техдирам агентств заказной разработки, как эффективнее всего внедрить процессы безопасной разработки.
Теперь можно наслаждаться пятницей и ждать записей докладов 🤓
• Сегодня наш специалист Алексей Висторобский выступил на OFFZONE с докладом «Nuclei: расширяем возможности современных методов проведения пентеста».
•Вчера наш специалист Игорь Ландырев с представителем blue team из Solid lab провели совместный доклад на тему «Фиолетовый — цвет боли!» о том, как стадии redteam выглядят глазами красных и синих команд.
• Наконец, наш самый молодой и самый активный специалист Сергей Зыбнев первым взял доменного админа двумя разными векторами в CTF от Jet!
• Оба дня конференции мы проводили панельную дискуссию в формате ролевой игры Dungeons & Dragons, сюжет которой связан с кибербезопасностью.
• А наш CISO Александр Герасимов успел на партнерскую конференцию AGIMA Partners' Weekend и рассказал техдирам агентств заказной разработки, как эффективнее всего внедрить процессы безопасной разработки.
Теперь можно наслаждаться пятницей и ждать записей докладов 🤓
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥10👍4❤2🔥1
Что будет если возвести Александра Герасимова² в квадрат?
Ответ: уникальный разговор о том, как должен выглядеть правильный процесс управления уязвимостями глазами внутреннего и внешнего ИБ-специалиста.
Мы наконец опубликовали подкаст с одноименным названием Just Security, в котором наш CISO беседует с руководителем направления внедрения систем кибербезопасности известного банка. Его тоже по необыкновенным обстоятельствам зовут Александр Герасимов :)
Коль скоро напряжение от камеры прошло, ребята превратили разговор в позновательнейшую дискуссию. Предлагаем вам устроиться по-удобнее и как следует насладиться ей. 🙌
В повестке:
— кому нужен процесс управления уязвимостями и из каких этапов он состоит.
— уровни зрелости компаний с точки зрения информационной безопасности.
— какие существуют российские и зарубежные решения для выстраивания процесса.
— что является и не является процессом vulnerability management на самом деле.
🙌Надеемся, что нам хватит ресурсов для развития еще и видео формата. Поэтому не скупитесь на лайки и комментарии, если хотите продолжение подкаста.
Ответ: уникальный разговор о том, как должен выглядеть правильный процесс управления уязвимостями глазами внутреннего и внешнего ИБ-специалиста.
Мы наконец опубликовали подкаст с одноименным названием Just Security, в котором наш CISO беседует с руководителем направления внедрения систем кибербезопасности известного банка. Его тоже по необыкновенным обстоятельствам зовут Александр Герасимов :)
Коль скоро напряжение от камеры прошло, ребята превратили разговор в позновательнейшую дискуссию. Предлагаем вам устроиться по-удобнее и как следует насладиться ей. 🙌
В повестке:
— кому нужен процесс управления уязвимостями и из каких этапов он состоит.
— уровни зрелости компаний с точки зрения информационной безопасности.
— какие существуют российские и зарубежные решения для выстраивания процесса.
— что является и не является процессом vulnerability management на самом деле.
🙌Надеемся, что нам хватит ресурсов для развития еще и видео формата. Поэтому не скупитесь на лайки и комментарии, если хотите продолжение подкаста.
YouTube
Подкаст Just Security by Awillix #1. Идеальный процесс управления уязвимостями.
Поговорили о том, кому нужен процесс управления уязвимостями и из каких этапов он состоит. Об уровнях зрелости компаний с точки зрения информационной безопасности и о том, какие существуют российские и зарубежные решения для выстраивания процесса, а также…
👍10🔥5❤3❤🔥1
Базовые_принципы_и_инструменты_в_SSDLC_.pdf
2.2 MB
Доклад был про базовые принципы и инструменты в SSDLC.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
Пока готовится запись выступления и наш roadmap, прикрепляем презентацию доклада. Ставьте + в комментариях, кому отправить roadmap первых шагов внедрения SSDLC.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
Пока готовится запись выступления и наш roadmap, прикрепляем презентацию доклада. Ставьте + в комментариях, кому отправить roadmap первых шагов внедрения SSDLC.
👍8❤4🔥2
Сентябрь горит, а значит начинаются гастроли Awillix по конференциям страны с докладами о том, как сделать этот мир чуточку безопаснее.
Первая в списке — «Видео+Конференция 2023» мероприятие о технологиях видеоконференцсвязи и безопасности корпоративного общения. Александра Герасимова пригласили рассказать об уязвимостях и угрозах для ВКС-инфраструктуры в отечественных компаниях, с точки зрения хакера, дать профессиональные рекомендации по их устранению.
Готовим контент и приглашаем присоединиться всех заинтересованных!
🔔 5 октября в 10:00 по МСК
📌 Москва, Soluxe Hotel
➡️ Регистрация: https://2023.vcs.su/
Первая в списке — «Видео+Конференция 2023» мероприятие о технологиях видеоконференцсвязи и безопасности корпоративного общения. Александра Герасимова пригласили рассказать об уязвимостях и угрозах для ВКС-инфраструктуры в отечественных компаниях, с точки зрения хакера, дать профессиональные рекомендации по их устранению.
Готовим контент и приглашаем присоединиться всех заинтересованных!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥4❤🔥2
В новой статье для Cyber Media разобрали возможности различных Open Source решений и способы их использования даже в большой энтерпрайз инфраструктуре.
Обычно про Open Source мы думаем, что это: нерабочие, небезопасное, неудобное решение, нет поддержки. Но на самом деле Open Source постоянно аудируется, его можно дорабатывать своими силами и под себя. А главное — Open Source не попадет под санкции.
Читайте разбор возможностей и решений для базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности. Мы даже привели сравнительные таблицы популярных инструментов для удобства. 👇
Обычно про Open Source мы думаем, что это: нерабочие, небезопасное, неудобное решение, нет поддержки. Но на самом деле Open Source постоянно аудируется, его можно дорабатывать своими силами и под себя. А главное — Open Source не попадет под санкции.
Читайте разбор возможностей и решений для базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности. Мы даже привели сравнительные таблицы популярных инструментов для удобства. 👇
securitymedia.org
Обзор Open Source продуктов для построения инфраструктуры, защиты и аудита
Александр ГерасимовДиректор по информационнойбезопасности и сооснователь Awillix.Экспертв области тестирования на проникновениеи анализа защищенности
👍11❤🔥3🔥3🆒2⚡1🥴1
Базовые принципы и инструменты в SSDLC — запись доклада Александра Герасимова на AGIMA Partners' Weekend'23.
Доклад для технческих специалистов, которые хотят начать построение процесса безопасной разработки.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
После доклада мы дополнили контент и сделали ✨roadmap ✨первых шагов внедрения SSDLC. В прошлом посте, уже разослали его всем желающим. Если тоже хочешь получить roadmap от Awillix, ставь + в комментариях.
Доклад для технческих специалистов, которые хотят начать построение процесса безопасной разработки.
Главные тезисы:
▪️ SSDLC, что внутри и для чего;
▪️ внедрение авто сканов и тестов на каждом этапе;
▪️как выжать максимум пользы из минимума инструментов.
После доклада мы дополнили контент и сделали ✨roadmap ✨первых шагов внедрения SSDLC. В прошлом посте, уже разослали его всем желающим. Если тоже хочешь получить roadmap от Awillix, ставь + в комментариях.
🔥8❤5👍4🆒1
This media is not supported in your browser
VIEW IN TELEGRAM
][акер опубликовал призовые кейсы нашей премии Pentest award. Сохраняем их в одном посте, чтобы участникам в следующем году было достаточно референсов:
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
#pentestaward
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
#pentestaward
❤🔥10👍6🔥2😁2
История о том, как два блогера парализовали работу всех нелегальных колл-центров Индии🤪
В прошлом году случилось невероятное – пранкеры атаковали мошенников «изнутри». А точнее – вывели из строя сразу все крупные колл-центры в Индии, которые обманывали пенсионеров по всему миру. И хотя мошенники вернулись к звонкам спустя неделю, они успели потерять 2 млн долларов.
Прокомментировали пранк-операцию с точки зрения технической сложности такой атаки. Читайте в новой статье Cyber Media.
В прошлом году случилось невероятное – пранкеры атаковали мошенников «изнутри». А точнее – вывели из строя сразу все крупные колл-центры в Индии, которые обманывали пенсионеров по всему миру. И хотя мошенники вернулись к звонкам спустя неделю, они успели потерять 2 млн долларов.
Прокомментировали пранк-операцию с точки зрения технической сложности такой атаки. Читайте в новой статье Cyber Media.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥6❤4🆒1
У всех сотрудников в Awillix есть история личного знакомства или его интересных обстоятельств. Так, например, Сережа aka @poxek подошел к нам на форуме после выступления с рядом интересных вопросов по теме.
«Такой молодой, а такой прокаченный парень» — подумали мы. Запомнили. А через время позвали в команду.
Его пример другим наука, как с помощью проактивности и упорства нестись по карьерной лестнице, обгоняя сверстников, получать разные бенефиты и полезные знакомства и успевать вести дюжину собственных проектов. Об этом он и дал интервью, спешите вдохновляться!
«Такой молодой, а такой прокаченный парень» — подумали мы. Запомнили. А через время позвали в команду.
Его пример другим наука, как с помощью проактивности и упорства нестись по карьерной лестнице, обгоняя сверстников, получать разные бенефиты и полезные знакомства и успевать вести дюжину собственных проектов. Об этом он и дал интервью, спешите вдохновляться!
❤13🔥11❤🔥6👍4💩4🤡2🤮1🆒1
Awillix ИБ-подписка.pdf
16.2 MB
Услуга, которую мы давно предоставляем, но ни разу не продавали.
За 5 лет работы с крупнейшими интернет-сервисами, финансовыми корпорациями и федеральными ритейл-сетями мы накопили огромный опыт и заслужили репутацию экспертов.
У нас есть клиенты, которые по разным причинам не имеют у себя в штате достаточное количество ИБ-специалистов. Они используют Awillix на постоянной основе, чтобы добирать нужные компетенции и ресурсы для обеспечения процессов информационной безопасности своих компаний.
С этими клиентами разовое сотрудничество переросло в полноценное управление ИБ-процессами. Мы несем полную ответственность за свою работу и решения, которые предлагаем принять компаниям в целях поддержания оптимального для них уровня защищенности. Такой «Security Team» на аутсорсе с разной сборкой и под разные нужды.
Сегодня мы решили, что ресурсы позволяют взять еще несколько клиентов на поддержку, поэтому вашему вниманию предлагается — «ИБ-подписка от Awillix».
🛡 ИБ-подписка — это аутсорс практической кибербезопасности и вопросов с документами. В рамках одного договора мы доводим до совершенства уровень защищенности внешнего и внутреннего ИТ-контура компании и берем на себя ответственность за развитие кибербезопасности в компании в целом.
Наши заказчики получают в свое распоряжение готовый отдел высококвалифицированных ИБ-специалистов по направлениям: анализ защищенности, AppSec, DevOps и DevSecOps. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогают существенно автоматизировать большинство процессов.
Мы создали оптимальные тарифные планы, позволяющие получить в свое распоряжение отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📎Подробнее об услугах, пакетах подписки и дополнительных опциях можно узнать в презентации, прилагаемой к посту. Количество мест ограничено.
За 5 лет работы с крупнейшими интернет-сервисами, финансовыми корпорациями и федеральными ритейл-сетями мы накопили огромный опыт и заслужили репутацию экспертов.
У нас есть клиенты, которые по разным причинам не имеют у себя в штате достаточное количество ИБ-специалистов. Они используют Awillix на постоянной основе, чтобы добирать нужные компетенции и ресурсы для обеспечения процессов информационной безопасности своих компаний.
С этими клиентами разовое сотрудничество переросло в полноценное управление ИБ-процессами. Мы несем полную ответственность за свою работу и решения, которые предлагаем принять компаниям в целях поддержания оптимального для них уровня защищенности. Такой «Security Team» на аутсорсе с разной сборкой и под разные нужды.
Сегодня мы решили, что ресурсы позволяют взять еще несколько клиентов на поддержку, поэтому вашему вниманию предлагается — «ИБ-подписка от Awillix».
Наши заказчики получают в свое распоряжение готовый отдел высококвалифицированных ИБ-специалистов по направлениям: анализ защищенности, AppSec, DevOps и DevSecOps. Те быстро и глубоко погружаются в архитектуру инфраструктуры и стек используемых технологий, а наши наработки в области ИБ, помогают существенно автоматизировать большинство процессов.
Мы создали оптимальные тарифные планы, позволяющие получить в свое распоряжение отдел сверхквалифицированных специалистов, по стоимости, сопоставимой с наймом в штат всего одного из них.
📎Подробнее об услугах, пакетах подписки и дополнительных опциях можно узнать в презентации, прилагаемой к посту. Количество мест ограничено.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4❤🔥2⚡1❤1
Nuclei обновляет свои шаблоны
Всем привет! Наверное, уже многие слышали, что команда ProjectDiscovery заметно обновила свой сканер Nuclei. В последний месяц команда и сообщество выпустили много крутых шаблонов, в том числе для проверки актуальных октябрьскийх уязвимостей.
Основные моменты последних релизов:
- Добавлено 316 новых шаблонов.
- Добавлено 158 новых CVE.
В октябрьском выпуске Nuclei Templates Monthly Release особое внимание уделяется ряду критических уязвимостей, включая:
- Уязвимость F5 BIG-IP, позволяющая реализовать RCE без аутентификации через AJP Smuggling.
- Удаленное выполнение кода в NextGen Mirth Connect, Viessmann Vitogate 300 и других продуктах.
- Утечка сессионных токенов в Citrix Bleed.
- Уязвимости в JetBrains TeamCity, Sitecore, Microsoft SharePoint и Atlassian Confluence.
Эти уязвимости привлекли внимание из-за их новизны и сильного воздействия на безопасность систем.
Забираем, обновляем, сканируем свои системы. Источник: https://blog.projectdiscovery.io/nuclei-templates-monthly-october-2023-edition/
Всем привет! Наверное, уже многие слышали, что команда ProjectDiscovery заметно обновила свой сканер Nuclei. В последний месяц команда и сообщество выпустили много крутых шаблонов, в том числе для проверки актуальных октябрьскийх уязвимостей.
Основные моменты последних релизов:
- Добавлено 316 новых шаблонов.
- Добавлено 158 новых CVE.
В октябрьском выпуске Nuclei Templates Monthly Release особое внимание уделяется ряду критических уязвимостей, включая:
- Уязвимость F5 BIG-IP, позволяющая реализовать RCE без аутентификации через AJP Smuggling.
- Удаленное выполнение кода в NextGen Mirth Connect, Viessmann Vitogate 300 и других продуктах.
- Утечка сессионных токенов в Citrix Bleed.
- Уязвимости в JetBrains TeamCity, Sitecore, Microsoft SharePoint и Atlassian Confluence.
Эти уязвимости привлекли внимание из-за их новизны и сильного воздействия на безопасность систем.
Забираем, обновляем, сканируем свои системы. Источник: https://blog.projectdiscovery.io/nuclei-templates-monthly-october-2023-edition/
🔥7👍6❤4
Приняли участие в проекте «Не для галочки» — подкаст о приватности. При поддержке Российской ассоциации профессионалов в области приватности (RPPA). Спешите слушать👂
Telegram
Privacy GDPR Russia
#podcast #НеДляГалочки
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡Apple, Яндекс
🎤Ведущие выпуска:…
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡Apple, Яндекс
🎤Ведущие выпуска:…
Нашу команду и тут и там передают: Алексей Висторобский, пентестер Awillix, выступил и дал интервью на SOC Forum, а Алексей Чижов, наш руководитель проектов, на ежегодном профессиональном форуме «Безопасность бизнеса» в Екатеринбурге.
Доклад первого Алексея был посвящен актуальным уязвимостям для инфраструктур российских компаний и автоматизации рутинных проверок. Доклад второго — уровню зрелости информационной безопасности в компаниях и портретам злоумышленников при заказе пентеста.
Ставьте лайки, если хотите увидеть этот контент в записи👍
Доклад первого Алексея был посвящен актуальным уязвимостям для инфраструктур российских компаний и автоматизации рутинных проверок. Доклад второго — уровню зрелости информационной безопасности в компаниях и портретам злоумышленников при заказе пентеста.
Ставьте лайки, если хотите увидеть этот контент в записи
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥7❤5⚡1❤🔥1🆒1