Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

🩸 Дневник Хакера: FIRST BLOOD! 20.11.2025 Помните ту историю с Bug Bounty, где я уже думал забить из-за игнора? Так вот… ОНИ ЗАПЛАТИЛИ! 💵🥳 ⚡️ Ситуация Я ждал ответа 2 недели. Отправил вежливый “пинок” (follow-up). И сегодня прилетело письмо счастья! 🎯 Результат (под NDA, без имён) ✅ Уязвимость: Подтверждена! (Логическая ошибка в регистрации) ✅ Статус: Paid 💰 Bounty: $150 📉 Ожидание vs Реальность Я оценивал баг как Medium ($300-750), потому что impact реальный. Вендор оценил как Low ($150)...

#gemini3pro Вышла Gemini 3 Pro: новая эра искусственного интеллекта от Google Google представила Gemini 3 Pro — свою самую мощную и интеллектуальную языковую модель, которая станет началом нового этапа развития искусственного интеллекта компании. Модель доступна уже сегодня в режиме превью для всех желающих, а также для подписчиков Google AI Pro и Ultra в поиске Google, для разработчиков в API и различных платформах Google. Подробнее: https://timneuro.ru/vyshla-gemini-3-pro-novaya-era-iskusstvennogo-intellekta-ot-google/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics...

Книга: «Все об уязвимости XSS». Глава 4. Классические векторы атаки 💉 • <script> тэги: олдскульная классика Если бы у XSS был свой пантеон богов, то тег <script> занимал бы в нём место Зевса. Это прародитель, альфа и омега, тот самый OG (Original Gangster) из мира веб-уязвимостей. Все эти новомодные onerror , <svg> , DOM Clobbering — это его дети и внуки. Но, как и с хорошим виски или старым рок-н-роллом, классика не стареет. И сегодня, в 2025 году, грамотно вставленный тег <script> всё так же способен положить на лопатки самые навороченные веб-приложения...

#forensics Алиби по пульсу: что могут рассказать фитнес-трекеры и умные часы В мире цифровой криминалистики мы привыкли копаться в жестких дисках и логах серверов. Но в последние годы самый интересный источник данных перекочевал прямо на тело человека. Фитнес-браслеты и умные часы — это не просто гаджеты. Это персональные «чёрные ящики», которые с пугающей точностью записывают историю жизни своего владельца. И когда эта история расходится с официальными показаниями, начинается самое интересное. Подробнее: https://timforensics.ru/alibi-po-pulsu-chto-mogut-rasskazat-fitnes-trekery-i-umnye-chasy/ Другие наши проекты: https://timcore...

#forensics Анти-форензика: как преступники прячут следы (и как мы их всё равно находим) Каждый раз, когда в новостях говорят про очередного кибер-гения, который «не оставил следов», я усмехаюсь. Следы есть всегда. Вопрос лишь в том, насколько глубоко они зарыты и хватит ли у специалиста терпения, инструментов и чая, чтобы до них докопаться. Анти-форензика — это не магия, а набор методов, направленных на одно: помешать нам, криминалистам, делать свою работу. Подробнее: https://timforensics.ru/anti-forenzika-kak-prestupniki-pryachut-sledy-i-kak-my-ih-vsyo-ravno-nahodim/ Другие наши проекты: https://timcore...

🔥 Темная сторона баг-баунти Яндекса: когда баги принимают, а деньги не платят Коллеги, давайте поговорим о том, о чем многие предпочитают молчать — о проблемах с программой “Охота за ошибками” от Яндекса. За последние годы накопилось немало жалоб от багхантеров, которые столкнулись с отказами в выплатах при том, что их уязвимости были приняты и исправлены 😤 Что происходит? По данным из открытых источников, исследователи сталкиваются с несколькими типичными проблемами: Проблема 1: “Баг не входит в scope программы” Классический случай — исследователь нашел реальную уязвимость (например, незащищенный...

💡 Чему научился за эти сутки 1. Санкции — это реальность Зарубежные платформы (Huntr, HackerOne, Bugcrowd) — геморрой с выплатами. Stripe/PayPal не работают, Wise/Payoneer блокируют. 2. Российский рынок недооценён Выплаты выше, чем на Западе (3 млн ₽ = ~$30k по текущему курсу), конкуренция ниже, легальность проще. 3. AI/ML баг-баунти — голубой океан Пока мало кто умеет хантить нейросети. Яндекс первым запустил программу в РФ, через полгода могут подтянуться Сбер, VK, Тинькофф. 🔥 Выводы для тех, кто тоже думает Если ты в России: • Забей на Huntr (CVE получишь, но денег — нет) • Иди на Standoff...

🎯 ДНЕВНИК ХАКЕРА: Смена курса — ухожу в YandexGPT Bug Bounty День 1. Суббота, 15 ноября 2025. Сижу третий час с чаем, пересматриваю стратегию. Решил кардинально сменить таргет — и вот почему 🔄 🌍 Как всё начиналось: Huntr vs Реальность Неделю назад изучал Huntr.com — первую в мире баг-баунти платформу для AI/ML. Программа по уязвимостям в форматах моделей (.keras, .safetensors, .gguf) выглядела сочно: $3-4k за RCE, специализация на MLflow, PyTorch, TensorFlow. План был простой: • Поднять MLflow в Docker • Найти десериализацию в Keras Lambda layers • Загрузить PoC на HuggingFace • Забрать $4k...

#books #xss Книга: «Все об уязвимости XSS». Глава 3: Как работает XSS — Анатомия атаки 🔬Контексты выполнения: HTML, JavaScript, атрибуты, URL Ты нашёл точку входа. Вставил <script>alert(1)</script> . Не сработало. Вставил onerror=alert(1) . Опять мимо. В чём дело? В том, что твой payload — это ключ, а для каждого замка нужен свой ключ. В мире XSS замок — это контекст выполнения. Это то место в коде страницы, куда попадает твой ввод. Не поняв контекст, ты будешь как мартышка с гранатой — много шума, но цель не поражена...

#blog Задал вопрос Искусственному Интеллекту: «Как ты охарактеризуешь мой уровень развития?» Судя по накопленным данным о тебе, ты находишься на продвинутом экспертном уровне с признаками полипрофессионализма и активного перехода в новую предметную область. Техническая экспертиза Твоя специализация в кибербезопасности соответствует уровню senior-специалиста: 8+ лет в этичном хакинге, активная практика баг-хантинга, глубокое понимание веб-безопасности, API-пентестинга и мобильной криминалистики. Ты владеешь широким...

🎯 BugHunter v1.0.5 - Epic Session Complete! Друзья, рад поделиться результатами продуктивной сессии над моим Bug Bounty сканером! За 27 часов работы: • Выкатил 5 релизов (v1.0.1 → v1.0.5) • Реализовал 13 крупных улучшений • Написал 3500+ строк кода • Создал 20+ документов • 0 breaking changes • Production-ready quality 🏆 Главное достижение: Завершена вся категория Quick Wins (100%)! --- 📊 Статистика роста: v1.0.0 → v1.0.5 Модулей: 4 → 7 (+75%) Тестов: 60 → 110 (+83%) Features: 15 → 28 (+87%) Templates: 0 → 7 --- 🆕 Что добавлено: 1...

#anthropic #claude Anthropic впервые строит собственную инфраструктуру: инвестиции в $50 млрд Создатель языковой модели Claude, компания Anthropic, объявила о беспрецедентном шаге — строительстве собственных дата-центров стоимостью $50 млрд. Это первый крупномасштабный проект компании по созданию собственной вычислительной инфраструктуры, что знаменует переход от традиционной модели аренды мощностей у облачных провайдеров. Подробнее: https://timneuro.ru/anthropic-vpervye-stroit-sobstvennuyu-infrastrukturu-investiczii-v-50-mlrd/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics...