Comments 8
Писал уже ранее. Вы предлагаете писать кейсы, которые все строго под NDA. Иначе просто быть не может в этой сфере. Поэтому никаких действительно серьезных и интересных чейнов тут априори быть не может сдано. Большая часть описанного выше - это стандартная практика любого пентестестера на абсолютно любом проекте. И приписывать этому - awards просто странно.
Справедливое замечание. Но в целом не сами чейны интересны, а необычные подходы, ресерчи и методики. Не интересны названия компаний и вот это все, что под NDA, многие получали аппрув на обезличенный отчет от заказчика, о чем и писали в своих репортах.
И кстати, много репортов было с багбаунти, если есть WOW-эффект, почему бы и не наградить)
Не знаю ни одного заказчика, который бы разрешил свои убийственные пентесты даже в обезличенном виде предоставлять куда-либо. Там под NDA зачастую даже сам факт проведения работ.
К багбаунти вопросов нет в этом плане. Просто стоит понимать, что по факту почти все, что описано в посте в наградах - это реально самый обычный будний день любого пентестера. ПетитПотам и дамп lsass - это в самом деле вершина для awards? Не стоит вводить в заблуждение.
Добрый день. Действительно NDA — это серьезное ограничение для наших участников, но большинству удается получить от заказчика чатичное раскрытие NDA для совета жюри нашей премии. У многих уязвимости, которые они нашли, уже исправили, поэтому они тоже могут спокойно поделиться опытом. Кто-то не успел исправить уязвимости, и мы лешились некоторого количества участников, но они пришлют свои работы в будущем году. Все остальные обезличивали чувствительные данные в заявках. Как правильно уже заметил @Bo0oM мы оцениваем ход мыслей и изобретательность специалиста, а не компанию, в которой проводился пентест.
Если вы действительно уверены в своей выдающейся компетенции, что можете судить о победителях по выдержке из кейсов в два предложения, не видя самих работ, и ставите под сомнение мнение двенадцати членов нашего экспертного независимого жюри, то участвуйте жюри в следующем году. Подтвердите свою экспертность и сможете убедиться в исключительности кейсов победителей собственными глазами.
Вы предлагаете писать кейсы, которые все строго под NDA.
Для этого и придумали обезличенность, чтобы заказчик был не идентифицируем в том числе (про «Там под NDA зачастую даже сам факт проведения работ» сюда же).
Большая часть описанного выше - это стандартная практика любого пентестестера на абсолютно любом проекте.
Интересные у вас пентесты, если для абсолютного любого проекта находятся уязвимости нулевого дня и/или под них целенаправленно разрабатываются инструменты =) В реальной жизни это, конечно же, далеко не так.
Поэтому никаких действительно серьезных и интересных чейнов тут априори быть не может сдано.
Расскажите это победителям в номинации «Девайс» с RCE на модемах, использующихся в куче сфер, через СМСку 😅
четко :) по факту!
К девайсам тоже вопросов нет. Выглядит очень интересно.
Что касается «интересные пентесты» - да, обычно именно такие.
И если 100 человек условных делают на работе тоже самое каждый день, что описано выше. А один из них рассказал про это для жюри - это не делает его труд более выдающимся для награды, чем остальные 99 которые не участвовали.
Рассказывать о полном взломе национальных компаний уровня топ-1, которые влияют на экономику страны и десятки тысяч клиентов - не разрешат ни при каком уровне обезличивания. Там становится понятно по контексту независимо от цензуры.
Очень хотелось бы поблагодарить организаторов ивента за его прекрасное проведение! Супер круто оказаться среди ребят, чьи тг-каналы, статьи и доклады раньше читал/смотрел, а вот и уже вместе с ними собираешься в одном месте на таком мероприятии. Да и иметь такую возможность, чтобы твой отчет прошел проверку у супер-жюри - дорогого стоит. Короче говоря - кайф получен!
Прошел ежегодный Pentest award — лучших этичных хакеров России снова наградили премией и призами