Just Security

Standoff Talks пройдет 18–19 июня Программа для комьюнити готова. Будут доклады профи, мастер-классы, конкурсы и возможность увидеть кибербитву своими глазами. Организаторы обещают интересную программу и приятную летнюю атмосферу. Поторопитесь, чтобы забрать проходку себе: места заканчиваются быстрее, чем пиво на афтепати :) ➡ Зарегистрироваться 👈 P. S. Кибербитва гремит все четыре дня, но первые два — время бизнес-программы. А вот 18–19 июня — основной движ. Пригоняй 🔥

Четвертый год дарим макбуки за красивые глаза райтапы 🏆 Каждый год участники Pentest award делают вклад в развитие ИБ-рынка. Обсуждая интересные новые практики, мы увеличиваем количество компетентных специалистов по всей стране и развиваемся сами в компании единомышленников. Такой вклад должен поощряться. За победу в каждой номинации участники как всегда получают MacBook, за второе место — iPhone, за третье — Apple Watch. Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом. Или быть финалистом прошлых лет. Попадание в шорт-лист — это уже очень почетно! Десятке сильнейших участников выдаются сертификаты. 🏃Торопитесь отправлять заявки, осталось не так много времени — award.awillix.ru #pentestaward

За последний год атаки на LLM и AI-агенты перестали быть экзотикой. Если вам есть чем похвастаться в сфере пентеста нейросетей, милости просим в номинанты — award.awillix.ru Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч, рекомендации по устранению и другие особенности. #pentestaward

Out of Scope Номинация за нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF, SIEM и т.д.) и любые другие значимые кейсы. Если ваш кейс ценен, но вы не можете определить подходящую номинацию — эта номинация для вас. ✅Например, сюда: • Собственный инструмент для пентеста с демонстрацией результатов • Оригинальный фишинг или social engineering • Физический пентест (проникновение на объект, клонирование пропусков) • Нестандартная автоматизация, методология, фреймворк • Ценный кейс, не подходящий под критерии Kill Chain / Системный взлом / Device / AI • Новая методология обхода WAF/EDR без привязки к конкретному проекту • Исследование криптографического алгоритма с доказательством слабости Критерии оценки: Оригинальность, практическая значимость, вклад в развитие сообщества. 👉 Номинация спонсируется PT Dephaze — автопентест для оценки уровня защищенности внутренней инфраструктуры. Проводит разведку, выявляет уязвимости и небезопасные конфигурации, эксплуатирует их в конкретном окружении и оценивает эффективность средств защиты. Оставляйте заявки на сайте — https://award.awillix.ru/ #pentestaward

Kill Chain Номинация за мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки. ✅Например, сюда: • Пентест с цепочкой initial access - lateral movement - domain admin • Эксплуатация веб-уязвимости - выход на сервер - пивот в AD • Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту • Комбинация сетевой и веб-атаки с продвижением по инфраструктуре ❌Не сюда: • Единичная критическая уязвимость (даже RCE) — Системный взлом или Out of Scope • Две связанные уязвимости без третьего шага — Системный взлом • Эксплуатация уязвимости физического устройства (прошивка, аппаратный интерфейс, IoT-девайс) — Device • Атака на AI/LLM — AI Критерии оценки: Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки. 🔵Номинация появилась благодаря Совкомбанк Технологии — это ИТ-компания, аккредитованная Минцифры, входящая в Группу одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз. В команде ценят инициативу, развитие и менторство — эти принципы близки миссии Pentest Award, направленной на развитие профессионального сообщества и популяризацию профессии этичного хакера. Поэтому в 2026 году Совкомбанк Технологии во второй раз становятся партнёром премии. Оставляйте заявки на сайте — https://award.awillix.ru/ #pentestaward

Kill Chain Номинация за мастерство построения полной атаки из двух и более последовательных шагов: от первоначального входа через развитие доступа до достижения конечной цели. Номинация объединяет веб, инфраструктуру, сеть и логические уязвимости — важна не отдельная уязвимость, а именно цепочка. Оценивается не только критичность конечного результата, но и логика построения атаки, глубина понимания архитектуры системы и способность участника связать разнородные уязвимости в единый сценарий атаки. ✅Например, сюда: • Пентест с цепочкой initial access - lateral movement - domain admin • Эксплуатация веб-уязвимости - выход на сервер - пивот в AD • Связка логических багов (2+ шага), приводящая к критическому бизнес-импакту • Комбинация сетевой и веб-атаки с продвижением по инфраструктуре ❌Не сюда: • Единичная критическая уязвимость (даже RCE) — Системный взлом или Out of Scope • Две связанные уязвимости без третьего шага — Системный взлом • Эксплуатация уязвимости физического устройства (прошивка, аппаратный интерфейс, IoT-девайс) — Device • Атака на AI/LLM — AI Критерии оценки: Глубина продвижения по инфраструктуре, нестандартность связок между шагами, понимание архитектуры атакуемой системы, реалистичность и воспроизводимость атаки. Номинация появилась благодаря Совкомбанк Технологии — Это ИТ-компания, аккредитованная Минцифры, входящая в Группу одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз. В команде ценят инициативу, развитие и менторство — эти принципы близки миссии Pentest Award, направленной на развитие профессионального сообщества и популяризацию профессии этичного хакера. Поэтому в 2026 году Совкомбанк Технологии во второй раз становятся партнёром премии. Оставляйте заявки на сайте — https://award.awillix.ru/ #pentestaward

Системный взлом (Web & Logic) Новая номинация за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям. Номинация также охватывает обнаружение новых классов уязвимостей или значительное развитие существующего класса, применимых к множеству продуктов/стеков технологий. Также принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса. ✅Например, сюда: • Новый класс уязвимостей, применимый к множеству продуктов. • Единичная уязвимость с глубоким анализом первопричины и системным значением (0-day с CVE). • Нестандартный байпас аутентификации или авторизации с глубоким техническим анализом. • Критическая логическая уязвимость с нетривиальным вектором эксплуатации. ❌Не сюда: • Цепочка из 2+ шагов в конкретной инфраструктуре — в номинацию Kill Chain • Уязвимость конкретного устройства/прошивки без масштабируемости — Device • Атака на AI/LLM систему — AI • Bypass СЗИ, как часть пентест-цепочки — Kill Chain Критерии оценки: Глубина технического анализа, оригинальность подхода, масштаб применимости результатов, строгость аргументации, практическая значимость. Куратор номинации — 🪲 Платформа Bug Bounty от BIZONE — это 150+ приватных и публичных программ, тысячи багхантеров, выплаты в течение 30 часов и много-много приятных бонусов. Подавайте свои райтапы в эту номинацию на сайте 👈 #pentestaward

Новинки в Pentest award 2026 За три года проведения премии и экспериментов с номинациями, мы накопили обратную связь от участников и членов жюри. Решили концептуально перестроить категории, чтобы добавить ясности и структуры. Если раньше заявки участников могли быть рассмотрены в нескольких номинациях одновременно, то сейчас распределение станет более четким благодаря понятному принципу — каждая номинация теперь отвечает на вопрос: «что именно мы оцениваем?». Таким образом появилась долгожданная номинация — «Kill Chain». Ценность работ в этой номинации не в одной уязвимости, даже критичной, а в способности связать разнородные баги в сценарий атаки: от первоначального входа до достижения цели. Раньше такие кейсы подавались в категорию «Пробив инфраструктуры» и «Bypass». Теперь есть одна номинация посвященная цепочкам атак, которая объединяет веб-, инфраструктурные, сетевые и логические уязвимости. Ее курирует Совкомбанк Технологии. Следующая новая номинация «Системный взлом» — преемник «Пробив web» и «Hack the logic». Сюда вошли уязвимости в веб-сервисах, API и других компонентах веб-приложений. Принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса. Эту номинацию курирует BIZONE Bug Bounty. Участникам номинации будут доступны приватные программы на платформе, а победителям дополнительно подарят билеты на конференцию OFFZONE. И так как игнорировать влияние нейросетей на отрасль больше невозможно: за последний год атаки на LLM и AI-агенты перестали быть экзотикой. Рrompt injection, обход guardrails, эксплуатация tool use и RAG-пайплайнов — это самостоятельная дисциплина со своими техниками и своей моделью угроз. Добавилась новая номинация «AI» — за выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на AI-системы: чат-боты, AI-ассистенты, AI-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM. Использование AI, как инструмента для проведения атаки, не является основанием для подачи в эту номинацию, такие кейсы можно подать в другие номинации. Для участия, оставляйте заявки на сайте — https://award.awillix.ru/ #pentestaward

Во всем мире уже обсудили Claude Mythos, как нечто инновационное и меняющее реальность, очередного убийцу хакеров. Мы тоже решили высказаться, что думаем на этот счет. Пока нет нормальных проверяемых цифр и сценариев, это скорее красивая упаковка под вечную боль индустрии. Они вкладывают огромные ресурсы в обучение, хотя спрос явно не бесконечный. Параллельно висит ожидание инвесторов: нужен видимый прогресс, пусть даже в презентациях и пресс-релизах. Логично залезть в security-нишу и продать историю «мы нашли дырки». По сути там нет магии, которой не было бы в классической связке: ревью, анализ, тулзы. Вопрос в цене токенов и в том, насколько результат предсказуем и окупается вам, а не вендору. Смешно выглядит ситуация: Mythos продают как security-прорыв не для масс, а следом выпускают публичную модель с просадкой по их же security-бенчам. По смыслу это очень удобно для продуктовой схемы: массовый API оставляют обычным, а отдельную, дорогую и контролируемую историю под security выделяют в отдельную нишу. Тогда «прорыв» не обязан совпадать с тем, что получают все пользователи. Он может жить как премиальный продукт, enterprise-нарратив и повод продавать отдельный доступ. Про «хакеры умрут» мы уже слышали такое про программистов. Скорее поменяется инструментарий и рутина. Ответственность и здравый смысл никуда не денутся. В серьёзных проектах, таких как OpenJDK например, ветер дует в сторону ИИ, и это нормально для поиска и подсказок, но не как автозамена человеческому аудиту критичного кода. Ещё один слой, который редко произносят вслух. Эти компании годами кормились нашими security-промптами, логами, кейсами и обратной связью от индустрии. На этом фоне легко собрать нарратив «мы сделали оружие для защиты». Но threat actor всё это время потенциально имел другой набор преимуществ: проприетарные black hat-данные, закрытые пайплайны и модели запредельного размера без необходимости красиво отчитываться перед публикой. В итоге ситуация может сложиться такой, что защитник в организации живёт в режиме квот и процедур: оставить заявку, пройти верификации, попасть под чужое представление о том, как должен выглядеть нормальный безопастник — и только тогда, может быть, получить доступ к инструментам и знаниям, которые уже не первый день считаются чувствительными. Параллельно злоумышленники, с натренированными под себя моделями и без обязанности отчитываться, которые не упираются в корпоративный гейткипинг. То, что мы видим скорее крошки с барского стола: удобно продавать, но плохо смешивать с иллюзией, что рынок только что изобрёл наступление, а злоумышленники до этого сидели без инструментов.

Pentest award 2026 открывает прием заявок! Вновь у этичных хакеров появляется возможность громко заявить о своих достижениях. Можно снова делиться наработками, демонстрировать талант и профессионализм. Участники получают вдохновения и новые рабочие инсайты, а также развиваются за счет обмена уникальным опытом с коллегами со всей страны. В этом году мы внедрили много нового, но участие, как всегда, остается бесплатным. Главный приз за победу — макбук и статуэтка! За вторые и третьи места призеры получат айфоны и смарт-часы. Церемония награждения состоится 14 августа на Красном Октябре. ✨Отправляйте заявки на сайте, участвуйте и побеждайте! #pentestaward

Сообщество этичного хакинга в России двигается от хаотичного поиска багов к системности — такой вывод мы сделали обсуждая тренды, хорошие и плохие практики offensive security с Михаилом Сидоруком, руководителем управления анализа защищенности BI.ZONE. Из подкаста вы узнаете: ❣В чем заключаются ответственные технические практики пентеста. ❣Как организованы репортинг и коммуникация в топовых компаниях. ❣Чем профессионал отличается от новичка. ❣Где искусственный интеллект уже вошел в повседневную рутину, а где создал новые риски. ❣А также — 8 трендов индустрии, которые выделили специалисты по анализу защищенности. 📺 Смотрите видео на youtube — https://www.youtube.com/watch?v=uEonCJR4NnE 👁 Смотрите видео на rutube — https://rutube.ru/video/da0df922642d209eb9411ef6f77c2d9f/ И даже на vkvideo тоже смотрите — https://vkvideo.ru/video-224604883_456239023

Записали подкаст Just Security с руководителем управления анализа защищенности, BI.ZONE — Михаилом Сидоруком.

Весной 41 кафедра НИЯУ МИФИ «Криптография и безопасность компьютерных систем» снова будет проводить неделю прикладной кибербезопасности «CyberFox». Темы: ⚡️методы фаззинг-тестирования; ⚡️практические аспекты аппаратных атак; ⚡️уязвимости блокчейн; ⚡️проблемы безопасности доверенных мобильных платформ; ⚡️анализ безопасности мобильных ОС: Android, iOS; ⚡️анализ безопасности CPU/GPU ⚡️анализ безопасности автомобилей ⚡️анализ безопасности IoT ⚡️и другие Если есть желание и возможность стать докладчиком, вэлком на регистрацию — https://cyberfox-week.com/cfp

Подборка статей #pentestaward 2025 в журнале «Хакер» ❣️Пробив WEB «RainLoop. Проходим путь от шелла до кеша — через аттач» от автора hunter «Go, ExifTool! Как я получил RCE на сервере через инъекцию аргументов ExifTool» от автора zerodivisi0n ❣️Пробив инфраструктуры «DCShadow для FreeIPA. Как DCSync привел меня к новой CVE» от Михаила Сухова (Im10n) ❣️Мобильный разлом «ATO в один клик. Как я нашел простой способ захватывать аккаунты в мобильном приложении» от автора mr4nd3r5on «Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы» от автора Георгия Кумуржи (@Russian_OSlNT) ❣️Девайс «Тачка на прокачку. Эксплуатируем RCE в головном устройстве автомобиля» от Александра Козлова и Сергея Ануфриенко «Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II» от Владимира Кононовича (DrMefistO) «I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры» от автора k3vg3n ❣️Hack the logic ​​«Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition» от Григория Прохорова (grishxnder) «One step to crit. Раскручиваем уязвимость в платежной логике» от Олега Лабынцева (OkiDoki) ❣️Раз bypass, два bypass «Time(less) LAPS. Закрепляем анонимный доступ к паролям локальных админов», автор Артемий Цецерский «Сценарии байпаса. Пробуем перехитрить защитные средства для Windows», автор SmartGlue «Глушилка для EDR. Обходим механизмы безопасности через Windows Filtering Platform», автор Human1231 ❣️Ловись рыбка «OTP — не проблема!Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2» от Георгия Кумуржи (@Russian_OSlNT) «Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком», автор huyaker1337 ❣️Out of Scope «Охота на идоров. Пьеса о защите данных в трех действиях», автор dmarushkin «Ручная ищейка. Делаем свой Google для локальной сети», автор s0i37 «BloodHoundIPA. Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound», авторы N4m3U53r, Levatein, DrieVlad

Просто смотреть на severity и количество уязвимостей — уже давно не рабочий инструмент. Такой подход не отражает ни реального уровня риска, ни приоритетов на устранение. Чтобы система управления уязвимостями действительно приносила пользу, нужно учитывать контекст и особенности среды, где эта уязвимость была обнаружена. ❣Метрики, которые действительно важно учитывать: 📍 Наличие эксплоита: есть публичный PoC или рабочий эксплоит? — Вероятность эксплуатации в таком случае резко возрастает. 📍 Актуальность (1-day / хайп): если уязвимость обсуждают в Twitter, на Reddit, в блогах, есть alert от CISA, то скорее всего, уязвимость уже массово эксплуатируют. 📍 Доступность сервиса: если сервис торчит наружу, вероятность атаки также возрастает. 📍 Бизнес-критичность: очевидно что на сервисе, который обрабатывает ПДН уязвимость необходимо исправлять быстрее, чем на статическом лендинге. 📍 Наличие патча: если патч есть — обновляемся, если нет смягчаем риски, например, с помощью WAF. В зависимости от данных метрик можно построить свою матрицу с конкретными SLA для устранения тех или иных уязвимостей. Модель можно корректировать, например, при управлении множеством уязвимостей в рамках какой-то одной единицы. Например, вы используете базовый Docker-образ версии 1.1, где имеются сотни уязвимостей в пакетах — нет смысла анализировать каждую, если для устранения большинства необходимо обновить базовый образ до версии 2.0. ❣Автоматизация и прозрачность: Идеально, если все эти метрики живут не в голове аналитика, а интегрированы в единую платформу управления уязвимостями, где можно: 📍 фильтровать уязвимости по наличию эксплойта, доступности сервиса или бизнес-критичности; 📍 видеть текущее состояние безопасности в реальном времени, через дашборды; 📍 формировать приоритезированный бэклог и SLA на устранение; 📍 автоматизировать передачу задач в тикетницу. Управление уязвимостями требует не только надежных сканеров, но и системы, способной централизованно обрабатывать, анализировать и приоритизировать обнаруженные угрозы. Для решения этих задач у нас в Авилликс есть собственная разработка — платформа ASOC (Application Security Operations Center), которая интегрируется с популярными сканерами уязвимостей и позволяет гибко подключать любые источники данных, будь то сканирования в рамках CI/CD-процессов или инфраструктурные проверки безопасности. Внедрение ASOC или подобных ей инструментов значительно повышает эффективность управления уязвимостями, упрощая анализ, автоматизируя обработку данных и обеспечивая прозрачность процессов безопасности. ❣Ключевые возможности ASOC: 📍Централизованная обработка данных; 📍Приоритизация уязвимостей; 📍Полная видимость состояния безопасности в единой системе; 📍Оценка эволюции безопасности; 📍Гибкая аналитика и детализация данных. Подробнее по каждому пункту, можно прочитать на сайте — https://awillix.ru/products/asoc

Мощный, тяжелый, нажористый контент подъехал к пятнице 😲 В новом выпуске подкаста Just Security двукратные победители Pentest award в номинации «Девайс» рассказывают про тестирование программно-аппаратного комплекса. Сергей Ануфриенко и Александр Козлов подробно рассказали не только про свои кейсы, взявшие золото, но и про саму методологию тестирования девайсов, взлом прошивки автомобилей и тренды в тестировании умных устройств. Смотреть по ссылке — https://www.youtube.com/watch?v=qoW15A5tx5E

Один из членов жюри Pentest award, по совместительству Lead Application Security Engineer в Яндексе — Роман Шемякин, просил передать нашим подписчикам новость: Яндекс расширяют команду AppSec и InfraSec, и проводят Week Offer Security 11–17 октября. Можно будет получить офер всего за несколько дней. Как это устроено: ❣️ Регистрируйтесь и отправляйте заявку до 8 октября ❣️ Пройдите две технические секции 11–12 октября ❣️ Познакомьтесь с командами и получите офер 13–17 октября Перед мероприятием участникам проведут онлайн-встречу, где расскажут подробнее о проектах и задачах команды, ответят на вопросы, а также сделают разбор задач и дадут советы, как лучше подготовиться к секциям. Для регистрации переходите по ссылке. Удачи!

Это что новый сайт?! 😱 Авилликс существует 7 лет, но за это время сайт никак не корректировался. Он безнадежно устарел как по форме, так и по наполнению. Из стартапа, делающего анализы защищенности, мы стали компанией, предоставляющей разные услуги по кибербезопасности для тех, кто хочет защитить себя от хакерских атак, завоевать доверие клиентов и инвесторов и соответствовать лучшим практикам в отрасли. Мы всегда будем сконцентрированы на наступательной кибербезопасности, а изменилось то, что наши наработки давно превратились в продукты для регулярного мониторинга, управления уязвимостями и их оркестрации. Мы накопили колоссальный опыт внедрения XDR/SIEM на базе open source решения Wazuh. В портфеле Авилликс прибавилось много крупных и известных клиентов и реализованных проектов по улучшению и построению «с нуля» DevSecOps-процессов, а также различной коммерческой разработки ПО в области информационной безопасности. Появились разделы: ❣Offensive тестирование на проникновение анализ защищенности программно-аппаратных средств анализ защищенности приложений red team социальная инженерия безопасность облачной инфраструктуры расследование инцидентов анализ защищенности AI-решений и LLM ❣Процессы ИБ - подписка — аутсорс процессов ИБ (offense, defence, compliance и др.) SSDLC / DevSecOps разработка ПО Third Party Risk ❣Комплайенс соответствие стандартам аудит ИБ аудит и создание защищенной СОИБ АСУ ТП ❣Продукты Continuous Vulnerability Monitoring (CVM) Saas-решение, позволяющее 24/7 тестировать безопасность, проводить инвентаризацию цифровых активов XDR/SIEM Единая платформа для сбора, хранения и обработки информации о событиях безопасности, уязвимостях и инцидентах ИБ ASOC/ASPM Платформа для управления безопасной разработкой, сбор и анализ данных о проблемах из любых источников и систем безопасности Обо всем этом теперь есть где прочитать подробнее! Наконец-то наш сайт отражает наше настоящее, а не далекое прошлое. Логотип и фирменный стиль тоже изменились, чтобы соответствовать времени и духу команды. Ставь 👍 если считаешь, что в лучшую сторону. Поздравьте нас с обновлением, и конечно, обращайтесь за консультациями по кибербезопасности. awillix.ru