Все что нужно для участия в Pentest award:
Шаг 1 — вспомнить свой самый выдающейся похек
Шаг 2 — описать его своими словами (возможно скрыть чувствительные данные)
Шаг 3 — отправить заявку через сайт
⭐️ Вопросы по заявке и приглашение на церемонию мы отправляем в телеграм, так что оставляй правильный @ник.
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
— Мемы (шутка)
И еще кое-что:
Можно ли отправлять 0day? — нужно! Можно ли отправлять, если нет 0day? — конечно!
Доступ к заявкам имеют только эксперты в составе жюри, с которыми есть соглашение о неразглашении.
Кейсы не публикуются и обсуждаются устно на церемонии награждения. Только по желанию авторов работы финалистов попадают в подборку спецвыпуска Хакера после церемонии.
Задать уточняющий вопрос в личку — @popsa_lizaa
😁 ОТПРАВИТЬ ЗАЯВКУ НА ПОБЕДУ — https://award.awillix.ru/
Шаг 1 — вспомнить свой самый выдающейся похек
Шаг 2 — описать его своими словами (возможно скрыть чувствительные данные)
Шаг 3 — отправить заявку через сайт
Постарайся обратить внимание на эти элементы:
1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.
Будет жирным плюсом, если сможешь привести:
— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
И еще кое-что:
Можно ли отправлять 0day? — нужно! Можно ли отправлять, если нет 0day? — конечно!
Доступ к заявкам имеют только эксперты в составе жюри, с которыми есть соглашение о неразглашении.
Кейсы не публикуются и обсуждаются устно на церемонии награждения. Только по желанию авторов работы финалистов попадают в подборку спецвыпуска Хакера после церемонии.
Задать уточняющий вопрос в личку — @popsa_lizaa
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤3❤🔥2👍2
Пока мы ждем ваши заявки на Pentest award до 30 июня, один из наших информационных партнеров «Яндекс | Охота за ошибками», пользуясь случаем, напоминает — если в вашем текущем арсенале не хватает драйвовых находок, можете успеть найти крутую багу в сервисе, который входит в их скоуп и получить выплату до 3 млн руб.
Еще успеваете собрать хет-трик: поучаствовать в «Охоте за ошибками», сделать доклад о своей находке и сорвать куш в одной из номинаций премии. Так, например, в прошлом году одну из номинаций забрал репорт об RCE через telegram-бот в одном из сервисов Яндекса. Вектор атаки и сам отчёт действительно крутые.
Приходи и ты!
🔗 Яндекс | Охота за ошибками
🔗 Pentest award 2025
Еще успеваете собрать хет-трик: поучаствовать в «Охоте за ошибками», сделать доклад о своей находке и сорвать куш в одной из номинаций премии. Так, например, в прошлом году одну из номинаций забрал репорт об RCE через telegram-бот в одном из сервисов Яндекса. Вектор атаки и сам отчёт действительно крутые.
Приходи и ты!
Please open Telegram to view this post
VIEW IN TELEGRAM
Для Деда Мороза нужно было быть хорошим мальчиком весь год, читать ему стихи и все равно получить не то, что ты хотел. А ежегодный праздник для пентестеров дарит сразу много подарков, и все они известны заранее.
Pentest award доступен всем, кто любит свое дело, не останавливается на достигнутом и не боится поделиться своими исследованиями. Уже очень скоро минута славы и справедливая награда за труд обрушится на лучших пентестеров 2025 года.
За победу в каждой номинации участники получают MacBook и эксклюзивные именные статуэтки #pentestaward, за второе место — iPhone, за третье — Apple Watch.
Совкомбанк Технологии
BI.ZONE Bug Bounty
OFFZONE
CyberED
Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом. Попадание в шорт-лист — это уже почетно! С этого года мы будем выдавать сертификаты десятке сильнейших участников.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥6❤🔥5👍1
Сообщество Assume Birch попросили напомнить про их Meetup №4
Самоорганизованный вечер в кругу единомышленников, где обсуждают актуальные темы и делятся докладами из рабочей практики. Плюс, конечно, афтерпати :)
10 июля 2025, Москва. 18:30.
👉 Приглашения 👈
Доклады:
⏺ Impacket — мощный инструмент для тестирования на проникновение, но его активность часто может привести к обнаружению со стороны SOC.
Рассмотрим типовые артефакты и методы детектирования Impacket, а также эффективные способы обхода этих механизмов.
⏺ Через бухгалтера к DA, или за что злоумышленники полюбили 1С
Опыт расследования нескольких инцидентов, где злоумышленники использовали слабости конфигурации 1С и добивались повышения привилегий с последующим деструктивным воздействием на инфраструктуру.
⏺ Turn me off, Turn me on
In this talk, I will share insights from a recent Zigbee security assessment I conducted in an industrial setting, where the target system relied on a private Zigbee profile and customized application logic. Traditional Zigbee tools and methods proved insufficient, requiring me to build a tailored assessment strategy from the ground up.
⭐️ +1 тема доклада (будет известна после окончания CFP)
Здесь можете быть вы.
Подать заявку на CFP можно по ссылке.
Самоорганизованный вечер в кругу единомышленников, где обсуждают актуальные темы и делятся докладами из рабочей практики. Плюс, конечно, афтерпати :)
10 июля 2025, Москва. 18:30.
👉 Приглашения 👈
Доклады:
Рассмотрим типовые артефакты и методы детектирования Impacket, а также эффективные способы обхода этих механизмов.
Опыт расследования нескольких инцидентов, где злоумышленники использовали слабости конфигурации 1С и добивались повышения привилегий с последующим деструктивным воздействием на инфраструктуру.
In this talk, I will share insights from a recent Zigbee security assessment I conducted in an industrial setting, where the target system relied on a private Zigbee profile and customized application logic. Traditional Zigbee tools and methods proved insufficient, requiring me to build a tailored assessment strategy from the ground up.
Здесь можете быть вы.
Подать заявку на CFP можно по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4🤔1🤝1
Друзья, мы приняли решение продлить прием заявок до 16 июля. У вас появится дополнительные две недели, чтобы подать свои работы в девять номинаций Pentest Award.
Сроки окончательные, и других переносов не будет, так как жюри нужно достаточно времени для прочтения всех работ. На данный момент меньше всего работ прислали в номинации«Грабли», «Девайс», «Ловись рыбка», поэтому если сомневались участвовать или нет, досылайте заявки!
Заскакивайте в уходящий поезд и не упускайте шанс получить признание за свою работу и потусить на закрытой церемонии вместе с лучшими представителями отрасли.
〰️ https://award.awillix.ru/ 🎉
#pentestaward
Сроки окончательные, и других переносов не будет, так как жюри нужно достаточно времени для прочтения всех работ. На данный момент меньше всего работ прислали в номинации
Заскакивайте в уходящий поезд и не упускайте шанс получить признание за свою работу и потусить на закрытой церемонии вместе с лучшими представителями отрасли.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤🔥4❤3👍1👎1😢1
Встречайте: Уже полюбившаяся номинация «Пробив инфраструктуры» и ее новый куратор Standoff Hackbase!
Призеров «Пробива инфраструктуры» награждают за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Курирует номинацию в этом году Standoff Hackbase. Это онлайн-полигон для красных с реалистичными копиями систем и ПО из разных отраслей. Полигон позволяет практиковаться в проверке защищенности сервисов и находить уязвимости 24/7. Так можно прокачать скилы и попасть на верхушку рейтинга Standoff. Для начинающих специалистов есть сегмент Bootcamp, чтобы плавно погружаться в ИБ. Для профи — специальные задания повышенной сложности, где точно не заскучаешь. Этим летом на полигоне много апдейтов: новый сезонный рейтинг, обновления инфраструктуры и задания с самыми свежими уязвимостями
Представитель партнеров в составе жюри: Андрей Пугачев, эксперт группы архитектуры киберполигона Standoff. Более 20 лет работает в информационной безопасности и обучает молодых специалистов.
Помимо техники Apple, финалисты номинации «Пробив инфраструктуры» получат подарки от Standoff Hackbase.
🏃♂️Бежим подавать работы на сайте — https://award.awillix.ru/
#pentestaward
Призеров «Пробива инфраструктуры» награждают за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Курирует номинацию в этом году Standoff Hackbase. Это онлайн-полигон для красных с реалистичными копиями систем и ПО из разных отраслей. Полигон позволяет практиковаться в проверке защищенности сервисов и находить уязвимости 24/7. Так можно прокачать скилы и попасть на верхушку рейтинга Standoff. Для начинающих специалистов есть сегмент Bootcamp, чтобы плавно погружаться в ИБ. Для профи — специальные задания повышенной сложности, где точно не заскучаешь. Этим летом на полигоне много апдейтов: новый сезонный рейтинг, обновления инфраструктуры и задания с самыми свежими уязвимостями
Представитель партнеров в составе жюри: Андрей Пугачев, эксперт группы архитектуры киберполигона Standoff. Более 20 лет работает в информационной безопасности и обучает молодых специалистов.
Помимо техники Apple, финалисты номинации «Пробив инфраструктуры» получат подарки от Standoff Hackbase.
🏃♂️Бежим подавать работы на сайте — https://award.awillix.ru/
#pentestaward
❤5🔥4❤🔥3
Знакомьтесь с экспертами нашего независимого совета жюри. Он состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Мы собрали сильных, чтобы выбрать лучших 💖
Отправить работы на сайте — https://award.awillix.ru/
#pentestaward
Отправить работы на сайте — https://award.awillix.ru/
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5❤🔥2🔥1😁1
От сообщества для сообщества 🤝
Мало придумать классный обществено полезный проект, важно суметь сделать его заметным и популярным. Pentest Award не справился бы без сильной команды информационной поддержки.
Начинающие авторы, отраслевые блогеры и просто специалисты, которые делятся наработками в своих каналах, обеспечили нам неплохую огласку.
Предлагаем подписаться сразу на всех, чтобы получать только отборный и релевантный контент.
Подписаться на папку 👈
#pentestaward
Мало придумать классный обществено полезный проект, важно суметь сделать его заметным и популярным. Pentest Award не справился бы без сильной команды информационной поддержки.
Начинающие авторы, отраслевые блогеры и просто специалисты, которые делятся наработками в своих каналах, обеспечили нам неплохую огласку.
Предлагаем подписаться сразу на всех, чтобы получать только отборный и релевантный контент.
Подписаться на папку 👈
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍7🔥6❤🔥1😁1😐1🗿1
Церемония награждения не за горами и
В этом году мы придумали новую фишку — награждать✨ фаворитов ✨ жюри.
Оценки жюри стремятся к абсолютной объективности, а мнения консолидируются. Но иногда так хочется выделить кого-то одного, кто запал в сердечко, но не взял призовое место.
Специально для такого случая, теперь у каждого члена жюри будет возможность выделить своего фаворита, и рассказать, чем именно так запомнилась его работа.
Дарить будем не макбук конечно, но тоже приятную штучку)
Увидим, что из этого выйдет на церемонии награждения 1 августа.
Отправить работы на сайте — https://award.awillix.ru/
#pentestaward
В этом году мы придумали новую фишку — награждать
Оценки жюри стремятся к абсолютной объективности, а мнения консолидируются. Но иногда так хочется выделить кого-то одного, кто запал в сердечко, но не взял призовое место.
Специально для такого случая, теперь у каждого члена жюри будет возможность выделить своего фаворита, и рассказать, чем именно так запомнилась его работа.
Дарить будем не макбук конечно, но тоже приятную штучку)
Увидим, что из этого выйдет на церемонии награждения 1 августа.
Отправить работы на сайте — https://award.awillix.ru/
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4❤🔥3🗿1
Последний шанс отправить заявку🔥
Мы получили уже много заявок, (больше чем в прошлые годА) и благодарны каждому за участие. Благодаря участникам проект живет и развивается вместе со всеми нами!
➡️Отправить работу👈
До окончания приема остались считанные дни и мы уже активно готовимся к торжественному награждению самых топовых и проактивных ребят с рынка. Будет крутая тусовка, следите за новостями, уже скоро будем публиковать подробности!
#pentestaward
Мы получили уже много заявок, (больше чем в прошлые годА) и благодарны каждому за участие. Благодаря участникам проект живет и развивается вместе со всеми нами!
➡️Отправить работу
До окончания приема остались считанные дни и мы уже активно готовимся к торжественному награждению самых топовых и проактивных ребят с рынка. Будет крутая тусовка, следите за новостями, уже скоро будем публиковать подробности!
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤3❤🔥2
Just Security
Последний шанс отправить заявку🔥 Мы получили уже много заявок, (больше чем в прошлые годА) и благодарны каждому за участие. Благодаря участникам проект живет и развивается вместе со всеми нами! ➡️Отправить работу👈 До окончания приема остались считанные…
Этап сбора заявок Pentest Award завершен 🔄
Работы определены по номинациям и переданы на оценку жюри. 30 июля мы представим шорт-лист лауреатов и разошлем пригласительные на церемонию награждения.
Уже не терпится встретиться!
Работы определены по номинациям и переданы на оценку жюри. 30 июля мы представим шорт-лист лауреатов и разошлем пригласительные на церемонию награждения.
Уже не терпится встретиться!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥10🔥5❤2🌭1
Zero-day в SharePoint (CVE‑2025‑53770)
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
• Сохраняется файл
• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
• Вторая волна: IP
Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
• Referer
• GET
4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
/_layouts/15/ToolPane.aspx с Referer=/_layouts/SignOut.aspx.• Сохраняется файл
spinstall0.aspx - дампер, извлекающий ValidationKey, позволяя создавать псевдо‑валидные ViewState‑токены с помощью ysoserial и получать RCE.• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
107.191.58.76 (~18 июля, 18:06 UTC)• Вторая волна: IP
104.238.159.149 (~19 июля, 07:28 UTC)Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
/layouts/15/ToolPane.aspx?DisplayMode• Referer
/layouts/SignOut.aspx• GET
/layouts/15/spinstall0.aspx4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
🔥10❤🔥3❤3👍2
Шорт-лист📋
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
➡️ Пробив WEB
baksist
Nmikryukov
Oki4_Doki & VlaDriev
alexxandr7
rayhec
dan_bogom
zerodivisi0n
oleg_ulanoff
A32s51
kiriknik
➡️ Пробив инфраструктуры
AY_Serkov
Alevuc
Im10n
Im10n (разные кейсы)
dontunique
d00movenok
irabva
VeeZy_VeeZy
Cyber_Ghst
➡️ Мобильный разлом
Nmikryukov
mad3e7cat
Byte_Wizard
z3eVeHbIu
mr4nd3r5on
Russian_OSlNT
➡️ Девайс
bearsec
N3tn1la
N0um3n0n
n0um3n0n (разные кейсы)
DrMefistO
k3vg3n
➡️ «**ck the logic»
w8boom
shdwpwn
iSavAnna
k3vg3n
matr0sk
grishxnder
Oki4_Doki
dan_bogom
crusher
AndrewYalta
➡️ «Раз bypass, два bypass»
Sol1v
tatutovich
VeeZy_VeeZy
zavgorof
nindZZa
artemy_ccrsky
SmartGlue
Human1231
Alevuc
vanja_b
➡️ «Ловись рыбка»
huyaker1337
Oki4_Doki
p4n4m44v4k4d4
Russian_OSlNT
Alevuc & maledictos
➡️ «Out of Scope»
mr4nd3r5on
wearetyomsmnv
Russian_OSlNT
zavgorof
r0binak
dmarushkin & grishxnder & kandrewps
s0i37
VlaDriev & Levatein & N4m3U53r
andreukuznetsov
ValMor1251
Ждем всех финалистов на церемонии награждения 1 августа в 18:30.
👉 Трансляция мероприятия будет доступна по ссылке.
#pentestaward
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
baksist
Nmikryukov
Oki4_Doki & VlaDriev
alexxandr7
rayhec
dan_bogom
zerodivisi0n
oleg_ulanoff
A32s51
kiriknik
AY_Serkov
Alevuc
Im10n
Im10n (разные кейсы)
dontunique
d00movenok
irabva
VeeZy_VeeZy
Cyber_Ghst
Nmikryukov
mad3e7cat
Byte_Wizard
z3eVeHbIu
mr4nd3r5on
Russian_OSlNT
bearsec
N3tn1la
N0um3n0n
n0um3n0n (разные кейсы)
DrMefistO
k3vg3n
w8boom
shdwpwn
iSavAnna
k3vg3n
matr0sk
grishxnder
Oki4_Doki
dan_bogom
crusher
AndrewYalta
Sol1v
tatutovich
VeeZy_VeeZy
zavgorof
nindZZa
artemy_ccrsky
SmartGlue
Human1231
Alevuc
vanja_b
huyaker1337
Oki4_Doki
p4n4m44v4k4d4
Russian_OSlNT
Alevuc & maledictos
mr4nd3r5on
wearetyomsmnv
Russian_OSlNT
zavgorof
r0binak
dmarushkin & grishxnder & kandrewps
s0i37
VlaDriev & Levatein & N4m3U53r
andreukuznetsov
ValMor1251
Ждем всех финалистов на церемонии награждения 1 августа в 18:30.
👉 Трансляция мероприятия будет доступна по ссылке.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤11❤🔥5👍1😱1🌚1
Призы заготовлены, статуэтки подписаны именами победителей, шампанское рвется из бутылки в нетерпении отпраздновать победу пентестеров. До вручения Pentest award осталось меньше 48 часов.
Уже завтра встречаемся на церемонии награждения, отмечаем, обсуждаем лучших хакеров и их кейсы, презентуем рейтинги 😏
Подглядеть можно в трансляции → https://www.youtube.com/watch?v=k1u8mE3dQIY
Уже завтра встречаемся на церемонии награждения, отмечаем, обсуждаем лучших хакеров и их кейсы, презентуем рейтинги 😏
Подглядеть можно в трансляции → https://www.youtube.com/watch?v=k1u8mE3dQIY
🔥16❤🔥11👍7❤3
Друзья, мы знаем, что вы ждали обещанную трансляцию. К сожалению проверенный подрядчик нас подвел. 🥲
Но запись есть! Мы выложим ее в полном объеме на всех площадках, как только закончим здесь)))
Но запись есть! Мы выложим ее в полном объеме на всех площадках, как только закончим здесь)))
👍17😭8🔥6