Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

18 декабря 2025 Пора подвести итоги моего активного баг-хантинга с августа по декабрь. Цифры, выводы и немного боли 😅 Найдено уязвимостей: 23 🎯 Standoff365 - 14 находок 2 оплаченных репорта (низкая + высокая критичность) 💰 11 информационных 1 дубликат 🎯 Bugbounty.ru - 3 находки 1 принятый репорт на гос. сайте (неоплачиваемая программа, но получил ачивку и респект) 🏆 2 на проверке 🎯 Казино - 3 находки 1 оплаченный репорт ($150 за 53 дня ожидания) 💸 2 на проверке 🎯 Яндекс - 3 находки Быстро завернули все репорты и нахамили в придачу 🤷‍♂ Что я понял за эти 4 месяца: ✅ Терпение решает всё...

Стань тем, кто видит невидимое. Интернет помнит всё. Даже то, что вы удалили 5 лет назад. Даже то, что вы пытались скрыть за «левым» никнеймом. Многие думают, что киберрасследования - это магия, доступная только спецслужбам или парням в худи из голливудских блокбастеров. На самом деле, это набор четких алгоритмов, инструментов и правильного мышления (OpSec). Я открываю предзаказ на мою новую книгу-практикум: 📘 «Цифровой след: путеводитель начинающего кибердетектива» Это не скучный учебник с теорией...

! 16 декабря 2025 Сегодня получил очередные деньги в Bug Bounty! 💸 💰 Цифры Выплата: $150 USDT В рублях: ≈11 909 ₽ Время: 53 дня от находки до денег Программа: Онлайн-казино (NDA) 📅 Как это было 24 октября → Отправил репорт 24 окт - 6 ноя → Тишина (13 дней) 6 ноября → Follow-up: "Где ответ?" 7 ноября → "Принято к рассмотрению" 20 ноября → "Подтверждено, $150" 2 декабря → Follow-up: "Где деньги?" 16 декабря → USDT на кошельке! 🔥 🔍 Что нашёл Email Verification Bypass Система не требует подтверждения...

Я в свои 36 лет уже многое сделал для России, в частности в сфере IT, как специалист и как блогер, который пропагандирует борьбу с коллективным западом в информационной войне. По себе знаю, что просто так не могу сидеть и ничего не делать, и существует такая потребность не из-за какой-то денежной выгоды. Плюс ко всему я делаю государственные ресурсы безопаснее как Баг-Хантер, находя уязвимости в системах. Для меня это в первую очередь вопрос внутреннего долга и честности перед самим собой: если у меня есть знания и опыт, которые могут усилить нашу страну, я обязан их использовать по максимуму...

🎯 Дневник Хакера | Вторая Принятая + Честный Разговор Прошёл месяц с момента первого отчёта. Сегодня - вторая принятая уязвимость на Standoff365! 🔥 Но есть нюанс... 😅 Что нашёл: Публичное раскрытие полной схемы API в госпрограмме (NDA 🤫) 995 endpoints с бизнес-логикой Internal команды в открытом доступе Полная карта для дальнейших атак Моя оценка: High severity Что поставили: Medium 💔 Выплата: 30-50k ₽ (ожидал 50-200k) 😔 Первые мысли Обидно? Да. Разочарование? Тоже. Но потом понял несколько вещей: 1...

Этичный хакинг, Bug Bounty и инструменты - теперь в MAX ⚡ Салют, на связи Timсore. Я всегда топлю за то, чтобы знания были структурированы, а общение - удобным. Поэтому запускаю свой канал на платформе MAX. Это будет хаб для тех, кто хочет глубже погрузиться в тему информационной безопасности. Никакой воды, только практический опыт и реальные кейсы. Что будет внутри: 🛡Bug Bounty: Разборы уязвимостей, отчеты с платформ (Standoff365 и др...

🚨 ЭЙ, НАРОД! Ухожу в chill-режим до 12 января 2026 🚨 С сегодняшнего дня по 12 января 2026 я валю в отпуск. Буду перезагружать мозги после года в режиме «взломал-запатчил-написал-снова взломал» 🔄💣 Что это значит для вас: ❌ Контент по этичному хакингу — в паузе ❌ Баг-баунти разборы — на hold ❌ Программирование — чуть позже ❌ Форензика — тоже отдыхает НО! 👀 Возможно (без гарантий, но шансы есть) выкачу вам книгу про кибердетектива 📚🔍 — она в процессе написания, и если муза не сольется, то увидите что-то сочное. Почему отпуск? Потому что даже 0day’и нуждаются в обновлении. После года в траншеях...

#forensics Слежка через DNS: как доменный сервер выдаёт все твои секреты Вы можете обмазаться VPN-ами, заклеить веб-камеру синей изолентой и использовать HTTPS везде, где только можно. Но если вы оставили настройки DNS по умолчанию — поздравляю, вы ходите по улице голым, прикрываясь прозрачным полиэтиленом. DNS (Domain Name System) — это телефонная книга интернета. Вы вводите google.com , а DNS-сервер говорит вашему компьютеру: «Иди по адресу 142.250.x.x». И вот в чем ирония: пока содержание вашего разговора (HTTPS) зашифровано, то, кому вы звоните, видно всем, кто стоит на раздаче. Давайте...

#forensics Искусство таймлайна: собираем цифровой день подозреваемого по секундам Люди любят врать. Свидетели путают время, подозреваемые придумывают алиби про поход к бабушке, а камеры наблюдения вечно смотрят не в ту сторону. Но есть один свидетель, который (почти) никогда не врет: файловая система. Таймлайн — это святой грааль форензики. Это способ взять кучу разрозненного мусора — логи, метаданные, кэши — и выстроить их в одну жесткую линию, которая пригвоздит вашего «клиента» к месту преступления точнее, чем отпечатки пальцев. Сегодня я расскажу, как мы собираем этот цифровой пазл, и почему ваш компьютер знает о вас больше, чем вы сами...

Отзыв. 😇

#blog #vulnerability Чем отличается найденная уязвимость в тестовой среде от бага в реальном проекте? 🔍💣 Слушай, братишка, если ты думаешь, что SQL-инъекция в staging — это то же самое, что дыра в продакшене, то у меня для тебя плохие новости. Давай разберём эту тему как настоящие RedTeam’еры, без воды и с жёсткими примерами...

🔒💻 Дневник Хакера: охота на уязвимости в финтехе Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎) Что было сделано за сегодня: 🔍 Разведка: • Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints • Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!) • Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠 🛡️ Тестирование безопасности: • Проверил аутентификацию - используют PKI...