Just Security
رفتن به کانال در Telegram
Про практическую кибербезопасность без воды и рекламы. Авторы — awillix.ru 😼 одна из лучших offensive-компаний в России. Pentest award — award.awillix.ru Подкаст — https://www.youtube.com/@awillix_security Контакт: @popsa_lizaa
نمایش بیشتر3 613
مشترکین
+124 ساعت
+47 روز
+2530 روز
آرشیو پست ها
3 615
Записали подкаст Just Security с руководителем управления анализа защищенности, BI.ZONE — Михаилом Сидоруком.
3 615
Весной 41 кафедра НИЯУ МИФИ «Криптография и безопасность компьютерных систем» снова будет проводить неделю прикладной кибербезопасности «CyberFox».
Темы:
⚡️методы фаззинг-тестирования;
⚡️практические аспекты аппаратных атак;
⚡️уязвимости блокчейн;
⚡️проблемы безопасности доверенных мобильных платформ;
⚡️анализ безопасности мобильных ОС: Android, iOS;
⚡️анализ безопасности CPU/GPU
⚡️анализ безопасности автомобилей
⚡️анализ безопасности IoT
⚡️и другие
Если есть желание и возможность стать докладчиком, вэлком на регистрацию — https://cyberfox-week.com/cfp
3 615
Подборка статей #pentestaward 2025 в журнале «Хакер»
❣️Пробив WEB
«RainLoop. Проходим путь от шелла до кеша — через аттач» от автора hunter
«Go, ExifTool! Как я получил RCE на сервере через инъекцию аргументов ExifTool» от автора zerodivisi0n
❣️Пробив инфраструктуры
«DCShadow для FreeIPA. Как DCSync привел меня к новой CVE» от Михаила Сухова (Im10n)
❣️Мобильный разлом
«ATO в один клик. Как я нашел простой способ захватывать аккаунты в мобильном приложении» от автора mr4nd3r5on
«Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы» от автора Георгия Кумуржи (@Russian_OSlNT)
❣️Девайс
«Тачка на прокачку. Эксплуатируем RCE в головном устройстве автомобиля» от Александра Козлова и Сергея Ануфриенко
«Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II» от Владимира Кононовича (DrMefistO)
«I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры» от автора k3vg3n
❣️Hack the logic
«Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition» от Григория Прохорова (grishxnder)
«One step to crit. Раскручиваем уязвимость в платежной логике» от Олега Лабынцева (OkiDoki)
❣️Раз bypass, два bypass
«Time(less) LAPS. Закрепляем анонимный доступ к паролям локальных админов», автор Артемий Цецерский
«Сценарии байпаса. Пробуем перехитрить защитные средства для Windows», автор SmartGlue
«Глушилка для EDR. Обходим механизмы безопасности через Windows Filtering Platform», автор Human1231
❣️Ловись рыбка
«OTP — не проблема!Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2» от Георгия Кумуржи (@Russian_OSlNT)
«Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком», автор huyaker1337
❣️Out of Scope
«Охота на идоров. Пьеса о защите данных в трех действиях», автор dmarushkin
«Ручная ищейка. Делаем свой Google для локальной сети», автор s0i37
«BloodHoundIPA. Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound», авторы N4m3U53r, Levatein, DrieVlad
3 615
Просто смотреть на severity и количество уязвимостей — уже давно не рабочий инструмент. Такой подход не отражает ни реального уровня риска, ни приоритетов на устранение. Чтобы система управления уязвимостями действительно приносила пользу, нужно учитывать контекст и особенности среды, где эта уязвимость была обнаружена.
❣Метрики, которые действительно важно учитывать:
📍 Наличие эксплоита: есть публичный PoC или рабочий эксплоит? — Вероятность эксплуатации в таком случае резко возрастает.
📍 Актуальность (1-day / хайп): если уязвимость обсуждают в Twitter, на Reddit, в блогах, есть alert от CISA, то скорее всего, уязвимость уже массово эксплуатируют.
📍 Доступность сервиса: если сервис торчит наружу, вероятность атаки также возрастает.
📍 Бизнес-критичность: очевидно что на сервисе, который обрабатывает ПДН уязвимость необходимо исправлять быстрее, чем на статическом лендинге.
📍 Наличие патча: если патч есть — обновляемся, если нет смягчаем риски, например, с помощью WAF.
В зависимости от данных метрик можно построить свою матрицу с конкретными SLA для устранения тех или иных уязвимостей. Модель можно корректировать, например, при управлении множеством уязвимостей в рамках какой-то одной единицы. Например, вы используете базовый Docker-образ версии 1.1, где имеются сотни уязвимостей в пакетах — нет смысла анализировать каждую, если для устранения большинства необходимо обновить базовый образ до версии 2.0.
❣Автоматизация и прозрачность:
Идеально, если все эти метрики живут не в голове аналитика, а интегрированы в единую платформу управления уязвимостями, где можно:
📍 фильтровать уязвимости по наличию эксплойта, доступности сервиса или бизнес-критичности;
📍 видеть текущее состояние безопасности в реальном времени, через дашборды;
📍 формировать приоритезированный бэклог и SLA на устранение;
📍 автоматизировать передачу задач в тикетницу.
Управление уязвимостями требует не только надежных сканеров, но и системы, способной централизованно обрабатывать, анализировать и приоритизировать обнаруженные угрозы. Для решения этих задач у нас в Авилликс есть собственная разработка — платформа ASOC (Application Security Operations Center), которая интегрируется с популярными сканерами уязвимостей и позволяет гибко подключать любые источники данных, будь то сканирования в рамках CI/CD-процессов или инфраструктурные проверки безопасности.
Внедрение ASOC или подобных ей инструментов значительно повышает эффективность управления уязвимостями, упрощая анализ, автоматизируя обработку данных и обеспечивая прозрачность процессов безопасности.
❣Ключевые возможности ASOC:
📍Централизованная обработка данных;
📍Приоритизация уязвимостей;
📍Полная видимость состояния безопасности в единой системе;
📍Оценка эволюции безопасности;
📍Гибкая аналитика и детализация данных.
Подробнее по каждому пункту, можно прочитать на сайте — https://awillix.ru/products/asoc
3 615
Мощный, тяжелый, нажористый контент подъехал к пятнице 😲
В новом выпуске подкаста Just Security двукратные победители Pentest award в номинации «Девайс» рассказывают про тестирование программно-аппаратного комплекса.
Сергей Ануфриенко и Александр Козлов подробно рассказали не только про свои кейсы, взявшие золото, но и про саму методологию тестирования девайсов, взлом прошивки автомобилей и тренды в тестировании умных устройств.
Смотреть по ссылке — https://www.youtube.com/watch?v=qoW15A5tx5E
3 615
Один из членов жюри Pentest award, по совместительству Lead Application Security Engineer в Яндексе — Роман Шемякин, просил передать нашим подписчикам новость:
Яндекс расширяют команду AppSec и InfraSec, и проводят Week Offer Security 11–17 октября. Можно будет получить офер всего за несколько дней.
Как это устроено:
❣️ Регистрируйтесь и отправляйте заявку до 8 октября
❣️ Пройдите две технические секции 11–12 октября
❣️ Познакомьтесь с командами и получите офер 13–17 октября
Перед мероприятием участникам проведут онлайн-встречу, где расскажут подробнее о проектах и задачах команды, ответят на вопросы, а также сделают разбор задач и дадут советы, как лучше подготовиться к секциям.
Для регистрации переходите по ссылке. Удачи!
3 615
Это что новый сайт?! 😱
Авилликс существует 7 лет, но за это время сайт никак не корректировался. Он безнадежно устарел как по форме, так и по наполнению. Из стартапа, делающего анализы защищенности, мы стали компанией, предоставляющей разные услуги по кибербезопасности для тех, кто хочет защитить себя от хакерских атак, завоевать доверие клиентов и инвесторов и соответствовать лучшим практикам в отрасли.
Мы всегда будем сконцентрированы на наступательной кибербезопасности, а изменилось то, что наши наработки давно превратились в продукты для регулярного мониторинга, управления уязвимостями и их оркестрации. Мы накопили колоссальный опыт внедрения XDR/SIEM на базе open source решения Wazuh. В портфеле Авилликс прибавилось много крупных и известных клиентов и реализованных проектов по улучшению и построению «с нуля» DevSecOps-процессов, а также различной коммерческой разработки ПО в области информационной безопасности.
Появились разделы:
❣Offensive
тестирование на проникновение
анализ защищенности программно-аппаратных средств
анализ защищенности приложений
red team
социальная инженерия
безопасность облачной инфраструктуры
расследование инцидентов
анализ защищенности AI-решений и LLM
❣Процессы
ИБ - подписка — аутсорс процессов ИБ (offense, defence, compliance и др.)
SSDLC / DevSecOps
разработка ПО
Third Party Risk
❣Комплайенс
соответствие стандартам
аудит ИБ
аудит и создание защищенной СОИБ АСУ ТП
❣Продукты
Continuous Vulnerability Monitoring (CVM)
Saas-решение, позволяющее 24/7 тестировать безопасность, проводить инвентаризацию цифровых активов
XDR/SIEM
Единая платформа для сбора, хранения и обработки информации о событиях безопасности, уязвимостях и инцидентах ИБ
ASOC/ASPM
Платформа для управления безопасной разработкой, сбор и анализ данных о проблемах из любых источников и систем безопасности
Обо всем этом теперь есть где прочитать подробнее! Наконец-то наш сайт отражает наше настоящее, а не далекое прошлое. Логотип и фирменный стиль тоже изменились, чтобы соответствовать времени и духу команды. Ставь 👍 если считаешь, что в лучшую сторону.
Поздравьте нас с обновлением, и конечно, обращайтесь за консультациями по кибербезопасности.
awillix.ru
3 615
За 5 минут о том, как прошла премия Pentest award!
Спасибо всем, кто поучаствовал в празднике этичного хакинга. Будем развивать и улучшать проект и дальше.
Видео на Ютуб | Рутуб | Вконтакте
Pentest award (сайт архив)
@justsecurity
3 615
Традиционный репортаж о том, как прошла церемония награждения в 2025 году
🔥Опубликовали рейтинги шорт-листа с баллами.
Гордимся каждым кто, явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров. Особенно крутые те, кто попал в финал — это уже очень почетно!
Спасибо всем за участие в Pentest award! Вместе мы делаем профессию пентестера еще более почетной и популярной.
Благодарим наших партнеров Совкомбанк Технологии и Standoff Hackbase, благодаря которым мы смогли расширить количество номинаций и наградить больше людей.
Отдельная благодарность BIZONE Bug Bounty за то что поверили в проект на этапе идеи и поддерживают его с 2023 года!
#pentestaward
3 615
Фотоотчет Pentest award 2025
🫶 Будем рады видеть ваши довольные лица и отзывы с упоминанием #pentestaward
Спасибо всем, кто смог прийти, было весело!
3 615
Друзья, мы знаем, что вы ждали обещанную трансляцию. К сожалению проверенный подрядчик нас подвел. 🥲
Но завись есть! Мы выложим ее в полном объеме на всех площадках, как только закончим здесь)))
3 615
Призы заготовлены, статуэтки подписаны именами победителей, шампанское рвется из бутылки в нетерпении отпраздновать победу пентестеров. До вручения Pentest award осталось меньше 48 часов.
Уже завтра встречаемся на церемонии награждения, отмечаем, обсуждаем лучших хакеров и их кейсы, презентуем рейтинги 😏
Подглядеть можно в трансляции → https://www.youtube.com/watch?v=k1u8mE3dQIY
3 615
Шорт-лист📋
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
➡️Пробив WEB
baksist
BlueWaterfall2836
Oki4_Doki & VlaDriev
alexxandr7
rayhec
dan_bogom
zerodivisi0n
oleg_ulanoff
A32s51
kiriknik
➡️Пробив инфраструктуры
AY_Serkov
Alevuc
Im10n
Im10n (разные кейсы)
dontunique
pechenegit
d00movenok
irabva
VeeZy_VeeZy
Cyber_Ghst
➡️ Мобильный разлом
BlueWaterfall2836
mad3e7cat
Byte_Wizard
z3eVeHbIu
mr4nd3r5on
Russian_OSlNT
➡️Девайс
bearsec
N3tn1la
N0um3n0n
n0um3n0n (разные кейсы)
DrMefistO
k3vg3n
➡️«**ck the logic»
w8boom
shdwpwn
iSavAnna
k3vg3n
matr0sk
grishxnder
Oki4_Doki
dan_bogom
crusher404
AndrewYalta
➡️«Раз bypass, два bypass»
Sol1v
tatutovich
VeeZy_VeeZy
zavgorof
nindZZa
artemy_ccrsky
SmartGlue
Human1231
Alevuc
vanja_b
➡️«Ловись рыбка»
huyaker1337
Oki4_Doki
p4n4m44v4k4d4
Russian_OSlNT
Alevuc & maledictos
➡️ «Out of Scope»
mr4nd3r5on
wearetyomsmnv
Russian_OSlNT
zavgorof
r0binak
dmarushkin
s0i37
VlaDriev & Levatein & N4m3U53r
andreukuznetsov
ValMor1251
Ждем всех финалистов на церемонии награждения 1 августа в 18:30.
👉 Трансляция мероприятия будет доступна по ссылке.
#pentestaward
3 615
Zero-day в SharePoint (CVE‑2025‑53770)
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
/_layouts/15/ToolPane.aspx с Referer=/_layouts/SignOut.aspx.
• Сохраняется файл spinstall0.aspx - дампер, извлекающий ValidationKey, позволяя создавать псевдо‑валидные ViewState‑токены с помощью ysoserial и получать RCE.
• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP 107.191.58.76 (~18 июля, 18:06 UTC)
• Вторая волна: IP 104.238.159.149 (~19 июля, 07:28 UTC)
Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST /layouts/15/ToolPane.aspx?DisplayMode
• Referer /layouts/SignOut.aspx
• GET /layouts/15/spinstall0.aspx
4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek3 615
Этап сбора заявок Pentest Award завершен 🔄
Работы определены по номинациям и переданы на оценку жюри. 30 июля мы представим шорт-лист лауреатов и разошлем пригласительные на церемонию награждения.
Уже не терпится встретиться!
3 615
Последний шанс отправить заявку🔥
Мы получили уже много заявок, (больше чем в прошлые годА) и благодарны каждому за участие. Благодаря участникам проект живет и развивается вместе со всеми нами!
➡️Отправить работу👈
До окончания приема остались считанные дни и мы уже активно готовимся к торжественному награждению самых топовых и проактивных ребят с рынка. Будет крутая тусовка, следите за новостями, уже скоро будем публиковать подробности!
#pentestaward
3 615
Церемония награждения не за горами и
В этом году мы придумали новую фишку — награждать ✨фаворитов ✨жюри.
Оценки жюри стремятся к абсолютной объективности, а мнения консолидируются. Но иногда так хочется выделить кого-то одного, кто запал в сердечко, но не взял призовое место.
Специально для такого случая, теперь у каждого члена жюри будет возможность выделить своего фаворита, и рассказать, чем именно так запомнилась его работа.
Дарить будем не макбук конечно, но тоже приятную штучку)
Увидим, что из этого выйдет на церемонии награждения 1 августа.
Отправить работы на сайте — https://award.awillix.ru/
#pentestaward
3 615
От сообщества для сообщества 🤝
Мало придумать классный обществено полезный проект, важно суметь сделать его заметным и популярным. Pentest Award не справился бы без сильной команды информационной поддержки.
Начинающие авторы, отраслевые блогеры и просто специалисты, которые делятся наработками в своих каналах, обеспечили нам неплохую огласку.
Предлагаем подписаться сразу на всех, чтобы получать только отборный и релевантный контент.
Подписаться на папку 👈
#pentestaward
