Новости. Достижения. События | УЦСБ
Отправить резюме
Главная
Новости
УЦСБ в топe Pentest Award 2025. Эксперты компании заняли четыре призовых места

УЦСБ в топe Pentest Award 2025. Эксперты компании заняли четыре призовых места

13.08.2025

Специалисты аналитического центра УЦСБ заняли четыре призовых места на третьей ежегодной премии для этичных хакеров —  Awillix Pentest Award. Всего на премию было подано 140 заявок. Шесть экспертов УЦСБ попали в шорт-лист из 66 финалистов и были представлены в шести номинациях: 

  • «Ловись рыбка» — самый оригинальный фишинг;
  • «Раз bypass, два bypass» — самый «красивый» обход средств защиты информации;
  • «Пробив WEB» — мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений;
  • «Пробив инфраструктуры» — выдающиеся достижения в пентестах и эксплуатации уязвимостей сетевой инфраструктуры;
  • Out of scope — за нестандартные открытия в области наступательной кибербезопасности; 
  • **ck the logic — обнаружение самых топовых логических багов.

Номинация Out of scope: Андрей Жуков, Кирилл Кравченя и Анастасия Прядко 

В этой номинации представители УЦСБ заняли два призовых места. Награду за второе место получил ведущий специалист по анализу защищенности Андрей Жуков с разработкой «Google за 200 строк кода на bash».

Он создал простую и эффективную систему, построенную на Linux-конвейерах и базе данных opensearch (elasticsearch). Она способна распарсить и «переварить» колоссальное количество документов — от обычных офисных до сложных вложенных типов файлов, что позволяет обнаружить чувствительную информацию на общедоступных ресурсах. 


«Я реализовал эту идею еще 9 лет назад, но не теряющая актуальности проблема поиска чувствительных данных принесла мне победу в 2025 году. Система не раз выручала меня на сложных проектах по анализу защищенности и была развернута в корпоративной сети УЦСБ, где успешно проанализировала 1 млн документов». 

4B0A5859.jpg


Третье место в этой же номинации заняли специалисты по анализу защищенности УЦСБ Анастасия Прядко и Кирилл Кравченя совместно c Владиславом Дриевым, специалистом PT Expert Security Center (PT ESC), Positive Technologies.

Кирилл Кравченя:
«Мы очень рады, что наша работа — адаптация BloodHound для FreeIPA — получила признание. Ранее BloodHound использовался для анализа Active Directory, позволяя выявлять скрытые и непредсказуемые связи с помощью теории графов. Однако для FreeIPA подобного инструмента не существовало, и мы восполнили этот пробел».
«Мы расширили функциональность BloodHound, проверенного инструмента для анализа AD, добавив поддержку FreeIPA. Теперь оба типа доменов можно анализировать в рамках одного решения», — сказала Анастасия Прядко. 

4B0A5826.jpg

Номинация **ck the logic: Олег Лабынцев

Здесь второе место занял специалист по анализу защищенности УЦСБ Олег Лабынцев, который в рамках Bug bounty нашел уязвимость в платежной логике организации. Он продемонстрировал возможность реального списания денежных средств по несуществующим данным и массовой генерации чеков об оплате, которая могла бы привести к заполнению файлового хранилища.

Олег Лабынцев:

«Для обнаружения этой уязвимости было достаточно браузера и встроенных в него инструментов разработчика. Это подтверждает, что такие серьезные уязвимости могут находиться на поверхности даже в 2025 году».

Номинация «Ловись рыбка»: Алексей Висторобский

В номинации «Ловись рыбка» второе место занял специалист по анализу защищенности УЦСБ Алексей Висторобский, который провел незаметную и эффективную фишинговую атаку. В рамках одной из программ Bug Bounty он получил доступ в CRM компании, где обнаружил новость о Telegram-боте поддержки, опубликованную год назад.

«В CRM была разработана фейковая страница с анонсом “нового бота поддержки 2.0” с искусственным интеллектом. В него была встроена функция авторизации через доменные учетные записи, благодаря которой получилось собрать данные реальных пользователей, а ИИ поддерживал иллюзию легитимности, общаясь с пользователями», — рассказал Алексей. 
Номинация «Пробив WEB»: Александр Федосеев

В число финалистов этой номинации попал младший специалист по анализу защищенности УЦСБ Александр Федосеев. Во время одного из пентестов внешней ИТ-инфраструктуры он реализовал удаленное выполнение кода (RCE), используя цепочку уязвимостей веб-приложения и службы FTP.

«Для меня это первый опыт участия в подобной премии и я рад, что вошел в список финалистов. Было интересно послушать и обсудить опыт других участников. В следующем году планирую снова принять участие с другими кейсами», — делится планами Александр. 

4B0A6378.jpg

Возврат к списку
Все события
Другие новости
О нас Направления События Вакансии Приведи друга
Отправить резюме
+7 (343) 379-98-34
resume@ussc.ru
© 2026 ООО «УЦСБ». Все права защищены.
Политика конфиденциальности
Уральский центр систем безопасности отзывы сотрудников о работодателе на Dream Job
Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.