В Москве этичных хакеров наградили первой в России премией Pentest award

3 августа прошла церемония награждения Pentest award – премии для специалистов по тестированию на проникновение.

Организаторы в лице компании Awillix сделали Pentest Awards, чтобы этичные хакеры смогли рассказать о себе, о своих достижениях и получить признание отрасли. Необходимо было дать мотивацию белым хакерам для поднятия их боевого духа и демонстрации того, что представители рынка действительно проявляют интерес и оценивают их навыки, а также для создания атмосферы здоровой спортивной конкуренции.

Чтобы поучаствовать, специалисты по пентесту присылали заявки с обезличенным рассказом о своём лучшем проекте, в рамках которого они смогли проявить смекалку, креатив и профессионализм

Все полученные заявки были разделены на несколько номинаций:

1. «Пробив». За наиболее интересный пробив внешней IT-инфраструктуры организации с использованием технических и логических уязвимостей. Приоритетно рассматривалось создание собственных эксплойтов без применения социотехнических методов.
2. «**ck the logic». За выявление наиболее интересных логических ошибок.
3. «Раз bypass, два bypass». За наиболее красивый обход сложных средств защиты информации.
4. «Ловись рыбка». За наиболее оригинальный фишинг или попытку обмануть сотрудников организации. Оценивались креативность, текст фишингового сообщения и применение нестандартных инструментов.

«Каждый может воспринимать эту премию по-своему. Для кого-то это способ заявить о себе. Для других – возможность получить приятный приз. Для третьих – повод встретиться и пообщаться с единомышленниками. Для меня премия – это в первую очередь обмен опытом, идеями, забавными и интересными историями. Надеюсь, что это подтолкнет больше людей делиться своими историями и наработками, а организаторы разовьют тему открытого микрофона на церемонии награждения», – рассказывает один из членов жюри Павел Топорков (Paul Axe) – независимый исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.

Судя по рассказам участников, пентестеры давно ждали такой возможности поделиться историями своих проектов и получить признание отрасли.

Победители

Победителем в номинации «Пробив»» стал @byqwert с кейсом «Как за неделю превратить Open redirect в RCE».

На втором месте расположился @fr35b1 с кейсом «Пентест сервисов внешнего периметра без предоставления учётных записей, в ходе которого был получен доступ к объекту внутренней сети с использованием NTLM Relay».

Третье место занял @WizaXxX — «Пробив одного из крупнейших банков. Точка входа — мобильное приложение».

В номинации «Раз bypass, два bypass» победу одержал @snovvcrash с кейсом «От DLL Proxying до загрузки вредоносного SSP».

Серебро получил @W0lFreaK с кейсом «Reverse shell на Haskell и собственный шифрованный канал связи для обхода актуальной версии АВПО».

Бронзу – @maledictos «Bitrix с известной уязвимостью – возможность выполнения произвольного кода и обход СЗИ».

В номинации «**ck the logic» первенствовал @i_bo0om c кейсом «Абьюз работы токенов на основе временных меток».

На втором месте расположился @byqwert с кейсом «Двухмесячная история попадания в админку — из минорный баги до race condition».

На третьем — @Danr0 с кейсом «Захват аккаунтов в мобильном приложении социальной сети».

В номинации «Ловись рыбка» первое место отдали @dmarushkin с кейсом «Социалка с ChatGPT».

Второе — @UstinovAlexander с кейсом «Эмуляция windows в браузере».

Третье – @snovvcrash «Злоупотребление установкой VS Code для LPE».

«Есть различные конференции, системы баг-баунти, где поощряют ИБ-специалистов. Но, чтобы про них рассказали и показали на всю страну о том, что они самые лучшие в своей теме, нет. Поэтому мы решили сделать свой вклад в комьюнити. Попадание в шорт-лист этой премии – уже почетно!» – отметил Александр Герасимов CISO Awillix, сооснователь Pentest award. 

«Считаю эту премию важной для развития нашего комьюнити. Надеюсь, что проведение этой премии станет доброй традицией!» – прокомментировал Михаил Сидорук, руководитель управления анализа защищенности BI.ZONE.

В общей сложности организатор получил около 100 заявок, из которых после первичного отсева осталось 71. В каждой номинации победители продемонстрировали жюри интересные и уникальные примерны своих профессиональных и необычных решений. Компания Awillix анонсировала ежегодное проведение премии с расширением аудитории и количества участников.

Источник: cisoclub.ru