3 августа прошла церемония награждения Pentest award – премии для специалистов по тестированию на проникновение.
Организаторы – Awillix сделали Pentest Awards, чтобы этичные хакеры смогли заявить о себе, рассказать о достижениях и получить признание отрасли. Важно было замотивировать белых хакеров, поднять боевой дух и показать, что представители рынка заинтересованы и высоко оценивают их навыки, а также создать атмосферу здоровой спортивной конкуренции.
Для участия, специалисты оставляли заявки с обезличенным рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив. Все заявки распределялись по следующим номинациям:
1. «Пробив» — За самый интересный пробив внешней инфраструктуры компании с помощью технических и логических уязвимостей. Приоритет за разработкой собственных эксплойтов без использование социотехнических методов.
2. «**ck the logic» — За находку самых топовых логических баг.
3. «Раз bypass, два bypass» — За самый красивый обход средств защиты информации.
4. «Ловись рыбка» — За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
«Каждый может воспринимать эту премию по своему. Для кого-то это способ заявить о себе. Для других – возможность получить приятный приз. Для третьих – повод встретиться и пообщаться с единомышленниками. Для меня премия – это в первую очередь обмен опытом, идеями, забавными и интересными историями. Надеюсь, что это подтолкнет больше людей делиться своими историями и наработками, а организаторы разовьют тему открытого микрофона на церемонии награждения» – рассказывает один из членов жюри Павел Топорков (Paul Axe) – независимый исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.
Судя по тому с каким удовольствием призеры делились историями о своих работах, пентестеры давно ждали возможности проявиться и получить заслуженное признание отрасли.
Победители
В номинации «Пробив» победил byqwert с кейсом «Как за неделю превратить Open redirect в RCE».
Второе место занял fr35b1 с кейсом «Пентест сервисов внешнего
периметра без предоставления учётных записей, в ходе которого был получен доступ к объекту внутренней сети с использованием NTLM Relay».
Третье место – WizaXxX «Пробив одного из крупнейших банков. Точка входа — мобильное приложение».
В номинации «Раз bypass, два bypass» победил snovvcrash с кейсом «От DLL Proxying до загрузки вредоносного SSP».
Второе место занял W0lFreaK с кейсом «Reverse shell на Haskell и собственный шифрованный канал связи для обхода актуальной версии АВПО».
Третье место – maledictos «Bitrix с известной уязвимостью – возможность выполнения произвольного кода и обход СЗИ».
В номинации «**ck the logic» победил i_bo0om c кейсом «Абьюз работы токенов на основе временных меток».
Второе место занял byqwert с кейсом «Двухмесячная история попадания в админку — из минорный баги до race condition».
Третье место – Danr0 – «Захват аккаунтов в мобильном приложении социальной сети».
В номинации «Ловись рыбка» победил dmarushkin c кейсом «Социалка с ChatGPT».
Второе место занял UstinovAlexander с кейсом «Эмуляция windows в браузере».
И третье – snovvcrash «Злоупотребление установкой VS Code для LPE».
«Есть различные конференции, системы баг-баунти, где поощряют ИБ-специалистов. Но, чтобы про них рассказали и показали на всю страну о том, что они самые лучшие в своей теме, нет. Поэтому мы решили сделать свой вклад в комьюнити. Попадание в шорт-лист этой премии – уже почетно!» – Александр Герасимов CISO Awillix, сооснователь Pentest award.
«Считаю эту премию важной для развития нашего комьюнити. Надеюсь, что проведение этой премии станет доброй традицией!» – Михаил Сидорук, руководитель управления анализа защищенности BI.ZONE.
Всего участники подали около 100 заявок, из них прошли первичный отсев 71. Победители во всех номинациях показали по-настоящему уникальные примеры незаурядных и профессиональных решений. Awillix анонсирует, что премия будет проводиться каждый год, расширяя свою аудиторию и число участников.
