Telegram Web Link
Подключайтесь к Неделе прикладной кибербезопасности «CyberFox», организуемой кафедрой «Криптография и безопасность компьютерных систем» НИЯУ МИФИ.

Темы:
🤩методы фаззинг-тестирования
🤩практические аспекты аппаратных атак
🤩уязвимости блокчейн
🤩проблемы реализации стековой канарейки, устойчивой к атакам
🤩проблемы безопасности доверенных мобильных платформ.

В субботу уже прошла лекция известного криптографа Карстена Нохеля из SRLabs на английском языке. А сегодня начинаются доклады на русском языке от ведущих преподавателей из университета прикладных наук Западной Швейцарии (HES-SO), кафедры «Компьютерная и информационная безопасность» РТУ МИРЭА, кафедры «Криптография и безопасность компьютерных систем» НИЯУ МИФИ, а также ведущих сотрудников АО «Лаборатория Касперского».

Регистрация по ссылке — https://cyberfox-week.com/
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥1🤯1
〰️Новинки Pentest award 2025 года

Однажды учредив независимую отраслевую премию, мы взяли большую ответственность за развитие важного для сообщества ежегодного события. Мы делаем все, чтобы улучшать проект, увеличивать его влияние и гарантировать качество.

Приглашаем новых экспертов в жюри, чтобы применить в оценках самый разносторонний опыт, модернизируем критерии и систему оценки. Привлекаем партнеров, которые разделяют ценности проекта. Стараемся сохранять ламповое профессиональное сообщество, в котором одинаково полезно и приятно находиться. 

Премия становится лучше еще и за счет обратной связи участников. Например, еще в прошлом году, мы сделали работы обезличенными для жюри во время оценки. Разделили номинацию «Пробив» на «веб» и «инфру», отказались от нескольких непопулярных номинаций. 

⤵️А вот что по вашим советам внедряем в этот раз:

1️⃣Мобильный разлом — номинация за мастерство поиска уязвимостей и технических недостатков мобильных устройств и всё, что с ними связано. Все, кто просил у нас мобилки, пожалуйста, подавайте работы, покажите, на что способны!

2️⃣Out of Scope — награда за находки, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ. 

Бывает, что достойный кейс, который хочется отметить, не выдерживает конкуренцию из-за рамок номинации. Мы решили убрать рамки и посмотреть что получится. Если ваш кейс не подходит под текущие категории, но заслуживает внимания —  эта номинация для вас.
Возможно, участники наметят новый тренд и создадут еще несколько «подноминаций» своими заявками. Мы только за! Поэтому не стесняйтесь и отправляйте все, чем можете похвастаться!

3️⃣Антиноминация «Осторожно, грабли!» — за самые ценные неудачи и полезные уроки в сфере ИБ. 

Столько раз участники предлагали сделать награду за самый грандиозный факап, ведь такого у каждого найдется с запасом. Мы несколько лет отклоняли эту идею, пока не придумали, как это может принести пользу. 

Антиноминация за антидостижения, здесь не будет привычных призовых мест — мы выбирем три самых поучительных примера, которые будут наиболее полезны сообществу. Победителям вручаются символические, но теплые подарки за вклад в коллективный опыт.

4️⃣Подключаем еще одну фишку «фаворит жюри», теперь у каждого члена жюри будет возможность выбрать понравившийся кейс и отметить участника по своему личному, только ему одному известному, принципу. Ну а что из этого получиться узнаем на церемонии награждения…

😐 Друзья, мы ждем ваши работы. Вклад каждого важен, вместе мы обогащаем сообщество опытом и повышаем уровень компетенций друг друга, все это влияет на развитие рынка и культуры оффенсив в России.

Оставляйте заявки на сайте —  https://award.awillix.ru/

#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥8🔥64
Вакансия в Авилликс! Ищем специалистов по тестированию на проникновение

(удаленка)

Чем предстоит заниматься?

— Внешнее тестирование на проникновение;
— Анализ защищенности веб-приложений;
— Разработка рекомендаций (пошаговое описание сценариев компрометации).

Требования:

— Опыт проведения тестов на проникновение или анализа защищенности приложений от 2х лет;
— Отличное знание уязвимостей веб-приложений, включая, но не ограничиваясь, OWASP Top-10;
— Опыт работы с инструментарием по анализу защищенности: nmap, Nessus, Burp Suite, Acunetix, sqlmap, metasploit и т.д.;
— Чтение исходного кода минимум на одном языке: Java, PHP, Golang, C#, Python.
— Умение автоматизировать задачи, разрабатывать эксплоиты для эксплуатации уязвимостей.
Дополнительным преимуществом будет наличие сертификатов: OSCP, OSCE, OSEP, OSWE, eWPTX и т.п.

Условия:

— Работа в ИБ-компании, основатели которой сами являются пентестерами;
— Заработная плата выше рынка, как и требования к навыкам сотрудников;
— Прозрачная система бонусов;
— Участие в интересных и сложных проектах по пентесту в команде с топовыми пентестерами;
— Выделенное время на занятие индивидуальным или командным ресерчем;
— Непрерывное развитие и обучение за счет компании;
— Карьерный рост, возможность занять ключевые позиции в будущем.

Про Авилликс:

Считаем себя одной из лучших offensive-компаний на рынке кибербезопасности в России. Имеем статус ИТ-компании и Государственную аккредитацию деятельности в области информационных технологий. Работаем с крупными интернет-сервисами, финансовыми корпорациями, федеральными ритейл-сетями, организациями из промышленных и топливно-энергетических секторов. Ежегодно проводим pentest award.

Ищем тех, кто понимает преимущества оффенсива. У нас учатся новому и работают на интересных проектах. В нашей компании нет формальностей и строгих чек-листов для работы. Мы не заставляем зарываться в отчетах и не следим во сколько начинается рабочий день. Все что важно — это результат.

Исповедуем открытое мышление и ценим личную инициативу. У сотрудников есть неограниченное пространство для карьерного роста — стать ведущим специалистом или руководителем направления. Даем возможность развивать навыки под руководством менторов, оплачиваем международное обучение и сертификацию, выделяем время для исследований, помогаем друг другу всегда.

Отклики собирает @popsa_lizaa, смело пишите.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥6👍32🔥2🌚1
Media is too big
VIEW IN TELEGRAM
Встречайте! Новая номинация этого года «Мобильный разлом»: от устройства до сервера»

Оценивается мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами. Включает в себя как традиционные смартфоны и планшеты, так и носимые устройства. Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие: с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.

Номинация появилась благодаря Совкомбанк Технологии — Это ИТ-компания, аккредитованная Минцифры, входящая в Группу одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз. Ценности команды — инициатива и развитие — очень созвучны с миссией Pentest Award.

Компания курирует сразу две номинации: «Мобильный взлом: от устройства до сервера» и «Девайс». Эксперт Совкомбанк Технологии Павел Чернышев, Red Team Lead, вошёл в состав жюри премии.

⭐️Оставляйте заявки на сайте — https://award.awillix.ru/

#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤‍🔥63🌭1
Анонсируем прямой эфир в рамках подготовки к Pentest award: Обсудим новые номинации, возможные кейсы и критерии оценки!

Выйдем поболтать 16 мая в 10:30, обсудим третью ежегодную премию для этичных хакеров. А так же:

— О чем будут новые номинации;
— Какие работы высоко оценит жюри;
— Примеры кейсов прошлых лет;
— Что важно в заявках, а что не очень;
— Опыт наших проектов.

Компанию в эфире составит Павел Чернышев — Red Team Lead «Совкомбанк Технологии». Павел поделится интересными кейсами, накопленными за годы всевозможных тестирований банковской инфраструктуры и различных Red Team проектов.

Регистрация не нужна, трансляция пройдет в канале @justsecurity

#pentestaward
🔥6👍5❤‍🔥321
Уже завтра — эфир про поиск уязвимостей и технических недостатков в номинациях «Мобильный разлом» и «Девайс».

🗓Когда: 16 мая в 10:30
📍Где: онлайн в тг-канале @justsecurity

Поговорим о новшествах Pentest award 2025, разберем примеры финалистов прошлых лет и поделимся интересными и полезными кейсами из собственного опыта. Ответим на вопросы участников премии.

〰️Спикеры:
Павел Чернышев — red team lead Совкомбанк Технологии
Александр Герасимов — сооснователь Авилликс

Регистрация не нужна, трансляция пройдет в канале @justsecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍31❤‍🔥1
Out of Scope — новая номинация без границ

Расскажи о своей идее/ проекте/ инструменте/ находке/ исследовании в свободной форме. Любые детали могут быть анонимны и скрыты, важно отразить сам подход и идею.

Подать заявку и узнать больше информации можно на сайте — https://award.awillix.ru/

#pentestaward
🔥51❤‍🔥1
Номинация «Пробив WEB» и ее неизменный куратор BIZONE Bug Bounty

Здесь соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее неизвестным уязвимостям.

Представитель компании-партнера в совете жюри — Никита Кузякин, руководитель направления верификации уязвимостей ВIZONE Bug Bounty.

🪲 Платформа Bug Bounty от BIZONE — это 90+ приватных и публичных программ, тысячи багхантеров, выплаты в течение 30 часов и много-много приятных бонусов. Все просто: вы им — баги, они вам — деньги.

Подавайте свои райтапы в эту номинацию на сайте 👈

‼️Вдохновляйтесь примерами финалистов прошлого года:

«Пробив веба. Как я обошел 2FA и захватил учетки пользователей»

«Громим PrestaShop. Как я захватил инсталл интернет-магазина на багбаунти»

«Вход через WebTutor. Атакуем Windows через веб-приложение и Microsoft SQL»

‼️И позапрошлого года:

Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».

Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».

Ждем ваших новых заявок!

#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰5❤‍🔥32🔥2
Еще один эфир о Pentest award: Обсудим «Пробив WEB» с кураторами номинации BI.ZONE Bug Bounty — всем известная платформа, объединяющая исследователей безопасности и бизнес.

⤵️Обсудим:

— Мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений.
— Ретроспективу прошлых лет премии.
— Интересные и необычные кейсы из рабочей практики BI.ZONE Bug Bounty и Авилликс.
— Немного поговорим о трендах и траектории развития индустрии.

Когда: 3 июня в 19:00
Где: онлайн в тг-канале @justsecurity

〰️Спикеры:

Александр Герасимов — сооснователь Авилликс.
Михаил Сидорук — руководитель управления анализа защищенности, BI.ZONE, член жюри Pentest award с 2023 года.
Андрей Левкин — руководитель продукта BI.ZONE Bug Bounty.

Регистрация не нужна, трансляция пройдет в канале @justsecurity

#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤‍🔥7👍42💊1
Media is too big
VIEW IN TELEGRAM
Самое время отправлять заявки в номинацию «Out of Scope»?!

Ведь здесь, мы награждаем за нестандартные находки и открытия в области наступательной кибербезопасности, которые выходят за рамки других номинаций. Собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ — вэлкам в эту номинацию.

А также «Осторожно, грабли!» — здесь награждаем за самые ценные неудачи и полезные уроки в сфере ИБ.

Кейсы, где что-то пошло не по плану: заваленный прод, неконтролируемая эскалация привилегий, случайное создание эксплоита с критическими последствиями и другие технические фейлы. Главное — не ошибка сама по себе, а те выводы, которые помогут другим не наступить на те же грабли.

🔺Заходи на сайт, чтобы узнать подробности и оставить заявку!

#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤‍🔥43
Все что нужно для участия в Pentest award:

Шаг 1 — вспомнить свой самый выдающейся похек
Шаг 2 — описать его своими словами (возможно скрыть чувствительные данные)
Шаг 3 — отправить заявку через сайт

⭐️Вопросы по заявке и приглашение на церемонию мы отправляем в телеграм, так что оставляй правильный @ник.

Постарайся обратить внимание на эти элементы:

1. Структура — контекст, вводные, понятное для жюри повествование.
2. Доказательства — пример эксплуатации, скрины и пруфы (можно дать их в обезличенном виде).
3. Обоснование — рассказ, почему твой проект достоин внимания.

Будет жирным плюсом, если сможешь привести:

— Сферу и размер компании, с которой делался проект.
— Иллюстрации / схемы / таблицы, поясняющие суть работы.
— Модель нарушителя — внешний / внутренний.
— Метод тестирования — чёрный / серый / белый ящик.
Мемы (шутка)

И еще кое-что:

Можно ли отправлять 0day? — нужно! Можно ли отправлять, если нет 0day? — конечно!

Доступ к заявкам имеют только эксперты в составе жюри, с которыми есть соглашение о неразглашении.

Кейсы не публикуются и обсуждаются устно на церемонии награждения. Только по желанию авторов работы финалистов попадают в подборку спецвыпуска Хакера после церемонии.

Задать уточняющий вопрос в личку — @popsa_lizaa
😁 ОТПРАВИТЬ ЗАЯВКУ НА ПОБЕДУ — https://award.awillix.ru/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥53❤‍🔥2👍2
Пока мы ждем ваши заявки на Pentest award до 30 июня, один из наших информационных партнеров «Яндекс | Охота за ошибками», пользуясь случаем, напоминает — если в вашем текущем арсенале не хватает драйвовых находок, можете успеть найти крутую багу в сервисе, который входит в их скоуп и получить выплату до 3 млн руб.

Еще успеваете собрать хет-трик: поучаствовать в «Охоте за ошибками», сделать доклад о своей находке и сорвать куш в одной из номинаций премии. Так, например, в прошлом году одну из номинаций забрал репорт об RCE через telegram-бот в одном из сервисов Яндекса. Вектор атаки и сам отчёт действительно крутые.

Приходи и ты!

🔗Яндекс | Охота за ошибками
🔗Pentest award 2025
Please open Telegram to view this post
VIEW IN TELEGRAM
8🔥6👍53❤‍🔥2🌭1
🪄А вы знали, что Pentest award круче, чем Новый год?!

Для Деда Мороза нужно было быть хорошим мальчиком весь год, читать ему стихи и все равно получить не то, что ты хотел. А ежегодный праздник для пентестеров дарит сразу много подарков, и все они известны заранее.

Pentest award доступен всем, кто любит свое дело, не останавливается на достигнутом и не боится поделиться своими исследованиями. Уже очень скоро минута славы и справедливая награда за труд обрушится на лучших пентестеров 2025 года. 

За победу в каждой номинации участники получают MacBook и эксклюзивные именные статуэтки #pentestaward, за второе место — iPhone, за третье — Apple Watch. 

Еще финалисты получат подарки от партнеров:

Совкомбанк Технологии 
BI.ZONE Bug Bounty
OFFZONE
CyberED 

Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом. Попадание в шорт-лист — это уже почетно! С этого года мы будем выдавать сертификаты десятке сильнейших участников.

〰️Торопитесь отправлять заявки, осталось немного времени — https://award.awillix.ru/
Please open Telegram to view this post
VIEW IN TELEGRAM
7🔥6❤‍🔥5👍1
Сообщество Assume Birch попросили напомнить про их Meetup №4

Самоорганизованный вечер в кругу единомышленников, где обсуждают актуальные темы и делятся докладами из рабочей практики. Плюс, конечно, афтерпати :)

10 июля 2025, Москва. 18:30.
👉 Приглашения 👈

Доклады:

Impacket — мощный инструмент для тестирования на проникновение, но его активность часто может привести к обнаружению со стороны SOC.

Рассмотрим типовые артефакты и методы детектирования Impacket, а также эффективные способы обхода этих механизмов.

Через бухгалтера к DA, или за что злоумышленники полюбили 1С

Опыт расследования нескольких инцидентов, где злоумышленники использовали слабости конфигурации 1С и добивались повышения привилегий с последующим деструктивным воздействием на инфраструктуру.

Turn me off, Turn me on

In this talk, I will share insights from a recent Zigbee security assessment I conducted in an industrial setting, where the target system relied on a private Zigbee profile and customized application logic. Traditional Zigbee tools and methods proved insufficient, requiring me to build a tailored assessment strategy from the ground up.

⭐️+1 тема доклада (будет известна после окончания CFP)
Здесь можете быть вы.
Подать заявку на CFP можно по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4🤔1🤝1
2025/10/22 20:03:16
Back to Top
HTML Embed Code: