Номинации 2026 года
«Kill Chain». В этой номинации оцениваются не отдельные уязвимости, пусть даже критические, а полноценные сценарии атаки: от первоначального проникновения до достижения конечной цели. Ранее такие работы распределялись между категориями «Пробив инфраструктуры» и «Bypass». Новая номинация объединяет цепочки, включающие веб-, инфраструктурные, сетевые и логические уязвимости. Ее курирует «Совкомбанк Технологии».
«Системный взлом». В номинации объединились направления «Пробив web» и «Hack the logic», включая уязвимости в веб-сервисах, API и других компонентах веб-приложений. В этой номинации принимаются:
- единичные уязвимости с глубоким анализом первопричины и системным значением;
- нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия;
- критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.
Номинацию курирует BIZONE Bug Bounty.
«Девайс». Номинация посвящена анализу защищенности физических устройств: сетевого оборудования, IoT-систем, смартфонов, планшетов, автомобильных систем и бытовой электроники. Объектом исследования может стать само устройство, его прошивка, аппаратные интерфейсы, мобильная операционная система, клиентское ПО или механизмы взаимодействия с внешними сервисами. Также оцениваются цепочки уязвимостей, связанные с одним устройством.
«Out of Scope». Номинация предназначена для нестандартных исследований и достижений в области наступательной кибербезопасности, которые не подходят для других категорий. Это могут быть собственные инструменты и методики, работы по социальной инженерии и физическому пентесту, исследования протоколов и алгоритмов, а также способов обхода EDR, WAF и других средств защиты. Номинацию курирует команда PT Dephaze.
«AI». Номинация охватывает исследования и эксплуатацию уязвимостей в системах, построенных с применением искусственного интеллекта и больших языковых моделей. На рассмотрение принимаются работы об атаках на чат-боты, ИИ-ассистентов и агентов, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM.
Участие и награждение
Участие в Pentest Award бесплатное. Один специалист может подать как одну, так и несколько работ. При этом необязательно полностью раскрывать детали исследования: достаточно описать ход работы и результаты эксплуатации, скрыв конфиденциальную информацию и чувствительные детали проекта.
Главный приз — именная статуэтка, MacBook и максимальное уважение сообщества. За вторые и третьи места призеры получат iPhone и смарт-часы.
Церемония награждения состоится 14 августа в Москве, на территории «Красного Октября».
Подробности и форма подачи заявки доступны на сайте award.awillix.ru.
Реклама. ООО «Авилликс». ИНН 9729279526.
