Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

! 16 декабря 2025 Сегодня получил очередные деньги в Bug Bounty! 💸 💰 Цифры Выплата: $150 USDT В рублях: ≈11 909 ₽ Время: 53 дня от находки до денег Программа: Онлайн-казино (NDA) 📅 Как это было 24 октября → Отправил репорт 24 окт - 6 ноя → Тишина (13 дней) 6 ноября → Follow-up: "Где ответ?" 7 ноября → "Принято к рассмотрению" 20 ноября → "Подтверждено, $150" 2 декабря → Follow-up: "Где деньги?" 16 декабря → USDT на кошельке! 🔥 🔍 Что нашёл Email Verification Bypass Система не требует подтверждения...

Я в свои 36 лет уже многое сделал для России, в частности в сфере IT, как специалист и как блогер, который пропагандирует борьбу с коллективным западом в информационной войне. По себе знаю, что просто так не могу сидеть и ничего не делать, и существует такая потребность не из-за какой-то денежной выгоды. Плюс ко всему я делаю государственные ресурсы безопаснее как Баг-Хантер, находя уязвимости в системах. Для меня это в первую очередь вопрос внутреннего долга и честности перед самим собой: если у меня есть знания и опыт, которые могут усилить нашу страну, я обязан их использовать по максимуму...

🎯 Дневник Хакера | Вторая Принятая + Честный Разговор Прошёл месяц с момента первого отчёта. Сегодня - вторая принятая уязвимость на Standoff365! 🔥 Но есть нюанс... 😅 Что нашёл: Публичное раскрытие полной схемы API в госпрограмме (NDA 🤫) 995 endpoints с бизнес-логикой Internal команды в открытом доступе Полная карта для дальнейших атак Моя оценка: High severity Что поставили: Medium 💔 Выплата: 30-50k ₽ (ожидал 50-200k) 😔 Первые мысли Обидно? Да. Разочарование? Тоже. Но потом понял несколько вещей: 1...

Этичный хакинг, Bug Bounty и инструменты - теперь в MAX ⚡ Салют, на связи Timсore. Я всегда топлю за то, чтобы знания были структурированы, а общение - удобным. Поэтому запускаю свой канал на платформе MAX. Это будет хаб для тех, кто хочет глубже погрузиться в тему информационной безопасности. Никакой воды, только практический опыт и реальные кейсы. Что будет внутри: 🛡Bug Bounty: Разборы уязвимостей, отчеты с платформ (Standoff365 и др...

🚨 ЭЙ, НАРОД! Ухожу в chill-режим до 12 января 2026 🚨 С сегодняшнего дня по 12 января 2026 я валю в отпуск. Буду перезагружать мозги после года в режиме «взломал-запатчил-написал-снова взломал» 🔄💣 Что это значит для вас: ❌ Контент по этичному хакингу — в паузе ❌ Баг-баунти разборы — на hold ❌ Программирование — чуть позже ❌ Форензика — тоже отдыхает НО! 👀 Возможно (без гарантий, но шансы есть) выкачу вам книгу про кибердетектива 📚🔍 — она в процессе написания, и если муза не сольется, то увидите что-то сочное. Почему отпуск? Потому что даже 0day’и нуждаются в обновлении. После года в траншеях...

#forensics Слежка через DNS: как доменный сервер выдаёт все твои секреты Вы можете обмазаться VPN-ами, заклеить веб-камеру синей изолентой и использовать HTTPS везде, где только можно. Но если вы оставили настройки DNS по умолчанию — поздравляю, вы ходите по улице голым, прикрываясь прозрачным полиэтиленом. DNS (Domain Name System) — это телефонная книга интернета. Вы вводите google.com , а DNS-сервер говорит вашему компьютеру: «Иди по адресу 142.250.x.x». И вот в чем ирония: пока содержание вашего разговора (HTTPS) зашифровано, то, кому вы звоните, видно всем, кто стоит на раздаче. Давайте...

#forensics Искусство таймлайна: собираем цифровой день подозреваемого по секундам Люди любят врать. Свидетели путают время, подозреваемые придумывают алиби про поход к бабушке, а камеры наблюдения вечно смотрят не в ту сторону. Но есть один свидетель, который (почти) никогда не врет: файловая система. Таймлайн — это святой грааль форензики. Это способ взять кучу разрозненного мусора — логи, метаданные, кэши — и выстроить их в одну жесткую линию, которая пригвоздит вашего «клиента» к месту преступления точнее, чем отпечатки пальцев. Сегодня я расскажу, как мы собираем этот цифровой пазл, и почему ваш компьютер знает о вас больше, чем вы сами...

Отзыв. 😇

#blog #vulnerability Чем отличается найденная уязвимость в тестовой среде от бага в реальном проекте? 🔍💣 Слушай, братишка, если ты думаешь, что SQL-инъекция в staging — это то же самое, что дыра в продакшене, то у меня для тебя плохие новости. Давай разберём эту тему как настоящие RedTeam’еры, без воды и с жёсткими примерами...

🔒💻 Дневник Хакера: охота на уязвимости в финтехе Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎) Что было сделано за сегодня: 🔍 Разведка: • Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints • Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!) • Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠 🛡️ Тестирование безопасности: • Проверил аутентификацию - используют PKI...

Здравствуйте, дорогие друзья. 🔥 Внимание, хакеры и штурмовики флагов! 🔥 У меня для вас жёсткий подгон — сразу 3 книги по CTF всего за 1200 рублей. Но есть нюанс: акция действует всего 3 дня (24–26 ноября включительно). Дальше — поезд уйдёт, и ценник вернётся к обычному. Что в комплекте? 📘 1. Основы CTF: Практическое руководство из окопов (1000 руб. вне акции) https://vk.com/market/product/elektronnaya-kniga-osnovy-ctf-prakticheskoe-rukovodstvo-iz-okopov-44038255-12085168 Если ты новичок в CTF или пробовал, но застревал на простых тасках — эта книга станет твоим боевым наставником...

#blog #anonymity Анонимна ли социальная сеть ВКонтакте? (Спойлер: нет, братан) Здравствуйте, дорогие друзья. ВКонтакте — это не соцсеть, а цифровой СИЗО с лайками. Вот что палит тебя еще до первого поста: • Регистрация по номеру телефона — привязка к SIM, а значит к паспорту. Даже если купил «левую» карту, операторы логируют SMS-верификацию с геолокацией вышек. • IP-логи — каждый вход записывается в базу. ВК знает, с какого провайдера, города и даже WiFi-точки ты заходил. • Браузерный фингерпринт — Canvas, WebGL, шрифты, разрешение экрана. Даже через "сервис на три буквы" тебя вычислят по уникальному отпечатку браузера...