От сообщества для сообщества 🤝
Мало придумать классный обществено полезный проект, важно суметь сделать его заметным и популярным. Pentest Award не справился бы без сильной команды информационной поддержки.
Начинающие авторы, отраслевые блогеры и просто специалисты, которые делятся наработками в своих каналах, обеспечили нам неплохую огласку.
Предлагаем подписаться сразу на всех, чтобы получать только отборный и релевантный контент.
Подписаться на папку 👈
#pentestaward
Мало придумать классный обществено полезный проект, важно суметь сделать его заметным и популярным. Pentest Award не справился бы без сильной команды информационной поддержки.
Начинающие авторы, отраслевые блогеры и просто специалисты, которые делятся наработками в своих каналах, обеспечили нам неплохую огласку.
Предлагаем подписаться сразу на всех, чтобы получать только отборный и релевантный контент.
Подписаться на папку 👈
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍7🔥6❤🔥1😁1😐1🗿1
Церемония награждения не за горами и
В этом году мы придумали новую фишку — награждать✨ фаворитов ✨ жюри.
Оценки жюри стремятся к абсолютной объективности, а мнения консолидируются. Но иногда так хочется выделить кого-то одного, кто запал в сердечко, но не взял призовое место.
Специально для такого случая, теперь у каждого члена жюри будет возможность выделить своего фаворита, и рассказать, чем именно так запомнилась его работа.
Дарить будем не макбук конечно, но тоже приятную штучку)
Увидим, что из этого выйдет на церемонии награждения 1 августа.
Отправить работы на сайте — https://award.awillix.ru/
#pentestaward
В этом году мы придумали новую фишку — награждать
Оценки жюри стремятся к абсолютной объективности, а мнения консолидируются. Но иногда так хочется выделить кого-то одного, кто запал в сердечко, но не взял призовое место.
Специально для такого случая, теперь у каждого члена жюри будет возможность выделить своего фаворита, и рассказать, чем именно так запомнилась его работа.
Дарить будем не макбук конечно, но тоже приятную штучку)
Увидим, что из этого выйдет на церемонии награждения 1 августа.
Отправить работы на сайте — https://award.awillix.ru/
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4❤🔥3🗿1
Последний шанс отправить заявку🔥
Мы получили уже много заявок, (больше чем в прошлые годА) и благодарны каждому за участие. Благодаря участникам проект живет и развивается вместе со всеми нами!
➡️Отправить работу👈
До окончания приема остались считанные дни и мы уже активно готовимся к торжественному награждению самых топовых и проактивных ребят с рынка. Будет крутая тусовка, следите за новостями, уже скоро будем публиковать подробности!
#pentestaward
Мы получили уже много заявок, (больше чем в прошлые годА) и благодарны каждому за участие. Благодаря участникам проект живет и развивается вместе со всеми нами!
➡️Отправить работу
До окончания приема остались считанные дни и мы уже активно готовимся к торжественному награждению самых топовых и проактивных ребят с рынка. Будет крутая тусовка, следите за новостями, уже скоро будем публиковать подробности!
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤3❤🔥2
Just Security
Последний шанс отправить заявку🔥 Мы получили уже много заявок, (больше чем в прошлые годА) и благодарны каждому за участие. Благодаря участникам проект живет и развивается вместе со всеми нами! ➡️Отправить работу👈 До окончания приема остались считанные…
Этап сбора заявок Pentest Award завершен 🔄
Работы определены по номинациям и переданы на оценку жюри. 30 июля мы представим шорт-лист лауреатов и разошлем пригласительные на церемонию награждения.
Уже не терпится встретиться!
Работы определены по номинациям и переданы на оценку жюри. 30 июля мы представим шорт-лист лауреатов и разошлем пригласительные на церемонию награждения.
Уже не терпится встретиться!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥10🔥5❤2🌭1
Zero-day в SharePoint (CVE‑2025‑53770)
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
• Сохраняется файл
• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
• Вторая волна: IP
Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
• Referer
• GET
4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
/_layouts/15/ToolPane.aspx с Referer=/_layouts/SignOut.aspx.• Сохраняется файл
spinstall0.aspx - дампер, извлекающий ValidationKey, позволяя создавать псевдо‑валидные ViewState‑токены с помощью ysoserial и получать RCE.• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
107.191.58.76 (~18 июля, 18:06 UTC)• Вторая волна: IP
104.238.159.149 (~19 июля, 07:28 UTC)Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
/layouts/15/ToolPane.aspx?DisplayMode• Referer
/layouts/SignOut.aspx• GET
/layouts/15/spinstall0.aspx4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
🔥10❤🔥3❤3👍2
Шорт-лист📋
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
➡️ Пробив WEB
baksist
Nmikryukov
Oki4_Doki & VlaDriev
alexxandr7
rayhec
dan_bogom
zerodivisi0n
oleg_ulanoff
A32s51
kiriknik
➡️ Пробив инфраструктуры
AY_Serkov
Alevuc
Im10n
Im10n (разные кейсы)
dontunique
d00movenok
irabva
VeeZy_VeeZy
Cyber_Ghst
➡️ Мобильный разлом
Nmikryukov
mad3e7cat
Byte_Wizard
z3eVeHbIu
mr4nd3r5on
Russian_OSlNT
➡️ Девайс
bearsec
N3tn1la
N0um3n0n
n0um3n0n (разные кейсы)
DrMefistO
k3vg3n
➡️ «**ck the logic»
w8boom
shdwpwn
iSavAnna
k3vg3n
matr0sk
grishxnder
Oki4_Doki
dan_bogom
crusher
AndrewYalta
➡️ «Раз bypass, два bypass»
Sol1v
tatutovich
VeeZy_VeeZy
zavgorof
nindZZa
artemy_ccrsky
SmartGlue
Human1231
Alevuc
vanja_b
➡️ «Ловись рыбка»
huyaker1337
Oki4_Doki
p4n4m44v4k4d4
Russian_OSlNT
Alevuc & maledictos
➡️ «Out of Scope»
mr4nd3r5on
wearetyomsmnv
Russian_OSlNT
zavgorof
r0binak
dmarushkin & grishxnder & kandrewps
s0i37
VlaDriev & Levatein & N4m3U53r
andreukuznetsov
ValMor1251
Ждем всех финалистов на церемонии награждения 1 августа в 18:30.
👉 Трансляция мероприятия будет доступна по ссылке.
#pentestaward
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
baksist
Nmikryukov
Oki4_Doki & VlaDriev
alexxandr7
rayhec
dan_bogom
zerodivisi0n
oleg_ulanoff
A32s51
kiriknik
AY_Serkov
Alevuc
Im10n
Im10n (разные кейсы)
dontunique
d00movenok
irabva
VeeZy_VeeZy
Cyber_Ghst
Nmikryukov
mad3e7cat
Byte_Wizard
z3eVeHbIu
mr4nd3r5on
Russian_OSlNT
bearsec
N3tn1la
N0um3n0n
n0um3n0n (разные кейсы)
DrMefistO
k3vg3n
w8boom
shdwpwn
iSavAnna
k3vg3n
matr0sk
grishxnder
Oki4_Doki
dan_bogom
crusher
AndrewYalta
Sol1v
tatutovich
VeeZy_VeeZy
zavgorof
nindZZa
artemy_ccrsky
SmartGlue
Human1231
Alevuc
vanja_b
huyaker1337
Oki4_Doki
p4n4m44v4k4d4
Russian_OSlNT
Alevuc & maledictos
mr4nd3r5on
wearetyomsmnv
Russian_OSlNT
zavgorof
r0binak
dmarushkin & grishxnder & kandrewps
s0i37
VlaDriev & Levatein & N4m3U53r
andreukuznetsov
ValMor1251
Ждем всех финалистов на церемонии награждения 1 августа в 18:30.
👉 Трансляция мероприятия будет доступна по ссылке.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤11❤🔥5👍1😱1🌚1
Призы заготовлены, статуэтки подписаны именами победителей, шампанское рвется из бутылки в нетерпении отпраздновать победу пентестеров. До вручения Pentest award осталось меньше 48 часов.
Уже завтра встречаемся на церемонии награждения, отмечаем, обсуждаем лучших хакеров и их кейсы, презентуем рейтинги 😏
Подглядеть можно в трансляции → https://www.youtube.com/watch?v=k1u8mE3dQIY
Уже завтра встречаемся на церемонии награждения, отмечаем, обсуждаем лучших хакеров и их кейсы, презентуем рейтинги 😏
Подглядеть можно в трансляции → https://www.youtube.com/watch?v=k1u8mE3dQIY
🔥16❤🔥11👍7❤3
Друзья, мы знаем, что вы ждали обещанную трансляцию. К сожалению проверенный подрядчик нас подвел. 🥲
Но запись есть! Мы выложим ее в полном объеме на всех площадках, как только закончим здесь)))
Но запись есть! Мы выложим ее в полном объеме на всех площадках, как только закончим здесь)))
👍17😭8🔥6
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Pentest award 2025: церемония награждения
Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей. С помощью премии они могут заявить о своих достижениях, продемонстрировать…
❤14❤🔥7🔥6🙏1
Фотоотчет Pentest award 2025
🫶 Будем рады видеть ваши довольные лица и отзывы с упоминанием #pentestaward
Спасибо всем, кто смог прийти, было весело!
🫶 Будем рады видеть ваши довольные лица и отзывы с упоминанием #pentestaward
Спасибо всем, кто смог прийти, было весело!
Photos by @valeriybelobeev
Pentest Awards 2025
фотограф Photos by @valeriybelobeev
🔥16❤🔥12❤7🙏1
Традиционный репортаж о том, как прошла церемония награждения в 2025 году
🔥 Опубликовали рейтинги шорт-листа с баллами.
Гордимся каждым кто, явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров. Особенно крутые те, кто попал в финал — это уже очень почетно!
Спасибо всем за участие в Pentest award! Вместе мы делаем профессию пентестера еще более почетной и популярной.
Благодарим наших партнеров Совкомбанк Технологии и Standoff Hackbase, благодаря которым мы смогли расширить количество номинаций и наградить больше людей.
Отдельная благодарность BI.ZONE Bug Bounty за то что поверили в проект на этапе идеи и поддерживают его с 2023 года!
#pentestaward
Гордимся каждым кто, явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров. Особенно крутые те, кто попал в финал — это уже очень почетно!
Спасибо всем за участие в Pentest award! Вместе мы делаем профессию пентестера еще более почетной и популярной.
Благодарим наших партнеров Совкомбанк Технологии и Standoff Hackbase, благодаря которым мы смогли расширить количество номинаций и наградить больше людей.
Отдельная благодарность BI.ZONE Bug Bounty за то что поверили в проект на этапе идеи и поддерживают его с 2023 года!
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Pentest award: Итоги награждения лучших этичных хакеров России 2025
Pentest award уже третий год отмечает талантливых специалистов, которые делают огромную работу по поиску уязвимостей, оставаясь за кадром. С каждым разом в проекте появляется больше номинаций,...
❤11🔥9❤🔥7👍2
Media is too big
VIEW IN TELEGRAM
За 5 минут о том, как прошла премия Pentest award!
Спасибо всем, кто поучаствовал в празднике этичного хакинга. Будем развивать и улучшать проект и дальше.
Видео на Ютуб | Рутуб | Вконтакте
Pentest award (сайт архив)
@justsecurity
Спасибо всем, кто поучаствовал в празднике этичного хакинга. Будем развивать и улучшать проект и дальше.
Видео на Ютуб | Рутуб | Вконтакте
Pentest award (сайт архив)
@justsecurity
❤13🔥7👍4❤🔥1💯1
Это что новый сайт?! 😱
Авилликс существует 7 лет, но за это время сайт никак не корректировался. Он безнадежно устарел как по форме, так и по наполнению. Из стартапа, делающего анализы защищенности, мы стали компанией, предоставляющей разные услуги по кибербезопасности для тех, кто хочет защитить себя от хакерских атак, завоевать доверие клиентов и инвесторов и соответствовать лучшим практикам в отрасли.
Мы всегда будем сконцентрированы на наступательной кибербезопасности, а изменилось то, что наши наработки давно превратились в продукты для регулярного мониторинга, управления уязвимостями и их оркестрации. Мы накопили колоссальный опыт внедрения XDR/SIEM на базе open source решения Wazuh. В портфеле Авилликс прибавилось много крупных и известных клиентов и реализованных проектов по улучшению и построению «с нуля» DevSecOps-процессов, а также различной коммерческой разработки ПО в области информационной безопасности.
Появились разделы:
❣ Offensive
тестирование на проникновение
анализ защищенности программно-аппаратных средств
анализ защищенности приложений
red team
социальная инженерия
безопасность облачной инфраструктуры
расследование инцидентов
анализ защищенности AI-решений и LLM
❣ Процессы
ИБ - подписка — аутсорс процессов ИБ (offense, defence, compliance и др.)
SSDLC / DevSecOps
разработка ПО
Third Party Risk
❣ Комплайенс
соответствие стандартам
аудит ИБ
аудит и создание защищенной СОИБ АСУ ТП
❣ Продукты
Continuous Vulnerability Monitoring (CVM)
Saas-решение, позволяющее 24/7 тестировать безопасность, проводить инвентаризацию цифровых активов
XDR/SIEM
Единая платформа для сбора, хранения и обработки информации о событиях безопасности, уязвимостях и инцидентах ИБ
ASOC/ASPM
Платформа для управления безопасной разработкой, сбор и анализ данных о проблемах из любых источников и систем безопасности
Обо всем этом теперь есть где прочитать подробнее! Наконец-то наш сайт отражает наше настоящее, а не далекое прошлое. Логотип и фирменный стиль тоже изменились, чтобы соответствовать времени и духу команды. Ставь 👍 если считаешь, что в лучшую сторону.
Поздравьте нас с обновлением, и конечно, обращайтесь за консультациями по кибербезопасности.
awillix.ru
Авилликс существует 7 лет, но за это время сайт никак не корректировался. Он безнадежно устарел как по форме, так и по наполнению. Из стартапа, делающего анализы защищенности, мы стали компанией, предоставляющей разные услуги по кибербезопасности для тех, кто хочет защитить себя от хакерских атак, завоевать доверие клиентов и инвесторов и соответствовать лучшим практикам в отрасли.
Мы всегда будем сконцентрированы на наступательной кибербезопасности, а изменилось то, что наши наработки давно превратились в продукты для регулярного мониторинга, управления уязвимостями и их оркестрации. Мы накопили колоссальный опыт внедрения XDR/SIEM на базе open source решения Wazuh. В портфеле Авилликс прибавилось много крупных и известных клиентов и реализованных проектов по улучшению и построению «с нуля» DevSecOps-процессов, а также различной коммерческой разработки ПО в области информационной безопасности.
Появились разделы:
тестирование на проникновение
анализ защищенности программно-аппаратных средств
анализ защищенности приложений
red team
социальная инженерия
безопасность облачной инфраструктуры
расследование инцидентов
анализ защищенности AI-решений и LLM
ИБ - подписка — аутсорс процессов ИБ (offense, defence, compliance и др.)
SSDLC / DevSecOps
разработка ПО
Third Party Risk
соответствие стандартам
аудит ИБ
аудит и создание защищенной СОИБ АСУ ТП
Continuous Vulnerability Monitoring (CVM)
Saas-решение, позволяющее 24/7 тестировать безопасность, проводить инвентаризацию цифровых активов
XDR/SIEM
Единая платформа для сбора, хранения и обработки информации о событиях безопасности, уязвимостях и инцидентах ИБ
ASOC/ASPM
Платформа для управления безопасной разработкой, сбор и анализ данных о проблемах из любых источников и систем безопасности
Обо всем этом теперь есть где прочитать подробнее! Наконец-то наш сайт отражает наше настоящее, а не далекое прошлое. Логотип и фирменный стиль тоже изменились, чтобы соответствовать времени и духу команды. Ставь 👍 если считаешь, что в лучшую сторону.
Поздравьте нас с обновлением, и конечно, обращайтесь за консультациями по кибербезопасности.
awillix.ru
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍7❤🔥6🔥6💯1
Мощный, тяжелый, нажористый контент подъехал к пятнице 😲
В новом выпуске подкаста Just Security двукратные победители Pentest award в номинации «Девайс» рассказывают про тестирование программно-аппаратного комплекса.
Сергей Ануфриенко и Александр Козлов подробно рассказали не только про свои кейсы, взявшие золото, но и про саму методологию тестирования девайсов, взлом прошивки автомобилей и тренды в тестировании умных устройств.
Смотреть по ссылке — https://www.youtube.com/watch?v=qoW15A5tx5E
В новом выпуске подкаста Just Security двукратные победители Pentest award в номинации «Девайс» рассказывают про тестирование программно-аппаратного комплекса.
Сергей Ануфриенко и Александр Козлов подробно рассказали не только про свои кейсы, взявшие золото, но и про саму методологию тестирования девайсов, взлом прошивки автомобилей и тренды в тестировании умных устройств.
Смотреть по ссылке — https://www.youtube.com/watch?v=qoW15A5tx5E
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤🔥3❤2👍2
Просто смотреть на severity и количество уязвимостей — уже давно не рабочий инструмент. Такой подход не отражает ни реального уровня риска, ни приоритетов на устранение. Чтобы система управления уязвимостями действительно приносила пользу, нужно учитывать контекст и особенности среды, где эта уязвимость была обнаружена.
❣ Метрики, которые действительно важно учитывать:
📍 Наличие эксплоита: есть публичный PoC или рабочий эксплоит? — Вероятность эксплуатации в таком случае резко возрастает.
📍 Актуальность (1-day / хайп): если уязвимость обсуждают в Twitter, на Reddit, в блогах, есть alert от CISA, то скорее всего, уязвимость уже массово эксплуатируют.
📍 Доступность сервиса: если сервис торчит наружу, вероятность атаки также возрастает.
📍 Бизнес-критичность: очевидно что на сервисе, который обрабатывает ПДН уязвимость необходимо исправлять быстрее, чем на статическом лендинге.
📍 Наличие патча: если патч есть — обновляемся, если нет смягчаем риски, например, с помощью WAF.
В зависимости от данных метрик можно построить свою матрицу с конкретными SLA для устранения тех или иных уязвимостей. Модель можно корректировать, например, при управлении множеством уязвимостей в рамках какой-то одной единицы. Например, вы используете базовый Docker-образ версии 1.1, где имеются сотни уязвимостей в пакетах — нет смысла анализировать каждую, если для устранения большинства необходимо обновить базовый образ до версии 2.0.
❣ Автоматизация и прозрачность:
Идеально, если все эти метрики живут не в голове аналитика, а интегрированы в единую платформу управления уязвимостями, где можно:
📍 фильтровать уязвимости по наличию эксплойта, доступности сервиса или бизнес-критичности;
📍 видеть текущее состояние безопасности в реальном времени, через дашборды;
📍 формировать приоритезированный бэклог и SLA на устранение;
📍 автоматизировать передачу задач в тикетницу.
Управление уязвимостями требует не только надежных сканеров, но и системы, способной централизованно обрабатывать, анализировать и приоритизировать обнаруженные угрозы. Для решения этих задач у нас в Авилликс есть собственная разработка — платформа ASOC (Application Security Operations Center), которая интегрируется с популярными сканерами уязвимостей и позволяет гибко подключать любые источники данных, будь то сканирования в рамках CI/CD-процессов или инфраструктурные проверки безопасности.
Внедрение ASOC или подобных ей инструментов значительно повышает эффективность управления уязвимостями, упрощая анализ, автоматизируя обработку данных и обеспечивая прозрачность процессов безопасности.
❣ Ключевые возможности ASOC:
📍 Централизованная обработка данных;
📍 Приоритизация уязвимостей;
📍 Полная видимость состояния безопасности в единой системе;
📍 Оценка эволюции безопасности;
📍 Гибкая аналитика и детализация данных.
Подробнее по каждому пункту, можно прочитать на сайте — https://awillix.ru/products/asoc
В зависимости от данных метрик можно построить свою матрицу с конкретными SLA для устранения тех или иных уязвимостей. Модель можно корректировать, например, при управлении множеством уязвимостей в рамках какой-то одной единицы. Например, вы используете базовый Docker-образ версии 1.1, где имеются сотни уязвимостей в пакетах — нет смысла анализировать каждую, если для устранения большинства необходимо обновить базовый образ до версии 2.0.
Идеально, если все эти метрики живут не в голове аналитика, а интегрированы в единую платформу управления уязвимостями, где можно:
Управление уязвимостями требует не только надежных сканеров, но и системы, способной централизованно обрабатывать, анализировать и приоритизировать обнаруженные угрозы. Для решения этих задач у нас в Авилликс есть собственная разработка — платформа ASOC (Application Security Operations Center), которая интегрируется с популярными сканерами уязвимостей и позволяет гибко подключать любые источники данных, будь то сканирования в рамках CI/CD-процессов или инфраструктурные проверки безопасности.
Внедрение ASOC или подобных ей инструментов значительно повышает эффективность управления уязвимостями, упрощая анализ, автоматизируя обработку данных и обеспечивая прозрачность процессов безопасности.
Подробнее по каждому пункту, можно прочитать на сайте — https://awillix.ru/products/asoc
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5❤3🔥3😁1
Подборка статей #pentestaward 2025 в журнале «Хакер»
❣️ Пробив WEB
«RainLoop. Проходим путь от шелла до кеша — через аттач» от автора hunter
«Go, ExifTool! Как я получил RCE на сервере через инъекцию аргументов ExifTool» от автора zerodivisi0n
❣️ Пробив инфраструктуры
«DCShadow для FreeIPA. Как DCSync привел меня к новой CVE» от Михаила Сухова (Im10n)
❣️ Мобильный разлом
«ATO в один клик. Как я нашел простой способ захватывать аккаунты в мобильном приложении» от автора mr4nd3r5on
«Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы» от автора Георгия Кумуржи (Russian_OSlNT)
❣️ Девайс
«Тачка на прокачку. Эксплуатируем RCE в головном устройстве автомобиля» от Александра Козлова и Сергея Ануфриенко
«Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II» от Владимира Кононовича (DrMefistO)
«I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры» от автора k3vg3n
❣️ Hack the logic
«Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition» от Григория Прохорова (grishxnder)
«One step to crit. Раскручиваем уязвимость в платежной логике» от Олега Лабынцева (OkiDoki)
❣️ Раз bypass, два bypass
«Time(less) LAPS. Закрепляем анонимный доступ к паролям локальных админов», автор Артемий Цецерский
«Сценарии байпаса. Пробуем перехитрить защитные средства для Windows», автор SmartGlue
«Глушилка для EDR. Обходим механизмы безопасности через Windows Filtering Platform», автор Human1231
❣️ Ловись рыбка
«OTP — не проблема!Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2» от Георгия Кумуржи (Russian_OSlNT)
«Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком», автор huyaker1337
❣️ Out of Scope
«Охота на идоров. Пьеса о защите данных в трех действиях», автор dmarushkin
«Ручная ищейка. Делаем свой Google для локальной сети», автор s0i37
«BloodHoundIPA. Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound», авторы N4m3U53r, Levatein, VlaDriev
«RainLoop. Проходим путь от шелла до кеша — через аттач» от автора hunter
«Go, ExifTool! Как я получил RCE на сервере через инъекцию аргументов ExifTool» от автора zerodivisi0n
«DCShadow для FreeIPA. Как DCSync привел меня к новой CVE» от Михаила Сухова (Im10n)
«ATO в один клик. Как я нашел простой способ захватывать аккаунты в мобильном приложении» от автора mr4nd3r5on
«Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы» от автора Георгия Кумуржи (Russian_OSlNT)
«Тачка на прокачку. Эксплуатируем RCE в головном устройстве автомобиля» от Александра Козлова и Сергея Ануфриенко
«Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II» от Владимира Кононовича (DrMefistO)
«I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры» от автора k3vg3n
«Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition» от Григория Прохорова (grishxnder)
«One step to crit. Раскручиваем уязвимость в платежной логике» от Олега Лабынцева (OkiDoki)
«Time(less) LAPS. Закрепляем анонимный доступ к паролям локальных админов», автор Артемий Цецерский
«Сценарии байпаса. Пробуем перехитрить защитные средства для Windows», автор SmartGlue
«Глушилка для EDR. Обходим механизмы безопасности через Windows Filtering Platform», автор Human1231
«OTP — не проблема!Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2» от Георгия Кумуржи (Russian_OSlNT)
«Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком», автор huyaker1337
«Охота на идоров. Пьеса о защите данных в трех действиях», автор dmarushkin
«Ручная ищейка. Делаем свой Google для локальной сети», автор s0i37
«BloodHoundIPA. Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound», авторы N4m3U53r, Levatein, VlaDriev
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍6❤5❤🔥1