Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

#pentest Пентест веба с нуля: разведка, которую ты делаешь неправильно «Большинство пентестеров начинают с Nmap. Большинство пентестеров пропускают половину поверхности атаки.» 💀 Разведка — это не nmap -sV target_com и бежать дальше. Это 40–60% всего энгейджмента. Если ты делаешь её плохо — ты просто красиво пропускаешь баги мимо рта. Подробнее: https://timpentest.ru/pentest-veba-s-nulya-razvedka-kotoruyu-ty-delaesh-nepravilno/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics.ru/ https://tarasovinvest.ru/ https://mikhailtarasovcom.ru/ https://timrobot.ru/ https://timneuro...

Предоставляю услугу - Менторство по Этичному хакингу Занимаюсь обучением учеников более 6-ти лет, и знаю пробелы по разному уровню знаний, поэтому взаимодействие со мной будет продуктивным. В сфере Этичного хакинга с начала 2017 года, уже 9-й год. Я не ставлю своей целью обучать как можно больше учащихся (групповые занятия/потоки и т.д.), предполагая индивидуальный подход к каждому. Что я делаю, при оказании данной услуги: - Составляю программу обучения, опираясь на исходные данные по текущему уровню знаний...

Привет, кожаные мешки с iPhone 11 🙋‍♂ Если ты сейчас читаешь это на iPhone XS, XR, 11 или 11 Pro - у меня для тебя новость. Плохая. Навсегда. Ребята из Paradigm Shift опубликовали эксплойт usbliter8, который позволяет выполнить произвольный код прямо внутри SecureROM чипов Apple A12 и A13. Это самый нижний уровень - код, который прошит в кремний ещё на заводе. Apple не может выпустить апдейт и «залатать» это. Физически. Никак. 💣 Что происходит под капотом? SecureROM - это первое, что запускается при включении iPhone...

!!! 🤖 Пока все спрашивают ChatGPT «напиши резюме» - хакеры используют ИИ по-другому. Prompt injection. Jailbreak GPT-5. DoS нейросетей. Генерация payload'ов через LLM. Deepfake для социальной инженерии. Обход AI-фильтров. Это не фантастика - это 2026 год. Подборка «AI × HACK 2026» - 4 книги на стыке искусственного интеллекта и кибербезопасности. Атакуешь ИИ. Используешь ИИ для атак. Остаёшься на шаг впереди. 📦 Что внутри: 🔬 «Хакинг с помощью ИИ» - 271 страница, 180 практических заданий...

#pentest Три тарифа по Пентесту веб-приложений.

Окей, слушайте что произошло - потому что это именно тот кейс, когда реальность круче любого CTF 👇 9 июня Anthropic дропнула Claude Fable 5 - первую публичную модель нового класса Mythos (ступень выше привычного Opus). По сути - самый мощный ИИ, который когда-либо выходил в открытый доступ. Контекст 1 млн токенов, 80.3% на SWE-bench Pro, за один день мигрирует кодовую базу Stripe. 🤯 Но вот тут начинается самое интересное 🍿 Через 3 дня после релиза - 12 июня - администрация Белого дома и АНБ принудили Anthropic заморозить доступ...

! 🔥 Время вылезать из терминала и забирать свой главный payload этого года. Окно возможностей захлопнулось: предзаказ по 1499 руб. официально завершён. Те, кто успел залететь по скидке - красавчики, ваш ROI уже пробил небеса. Для остальных халява закончилась: сейчас ценник 2200 рублей. И поверь мне по-братски, эта сумма отбивается одним простеньким репортом на P3. Книга «Исповедь баг-хантера: Взлом без лишней воды» готова. 242 страницы чистейшей RedTeam-ненависти к кривому коду. Никакой воды, истории интернета и нудных лекций про то, "что такое HTTP-пакет"...

» Проект - корпоративный портал российской компании на Яндекс.Облаке. Клиент уверен: «у нас WAF, сканеры ничего не нашли». Классика. 🔍 Точка входа Форма загрузки данных: «Вставьте ссылку на файл». Разработчики думали, что туда будут вставлять только https://example.ru/data.csv. Не угадали. 🧪 Шаги атаки Шаг 1 - проверяю, делает ли сервер запросы от себя: url=http://attacker.burpcollaborator.net Пинг пришёл. Сервер ходит по URL сам. Уже интересно 😏 Шаг 2 - пробую внутреннюю сеть: url=http://192...

! 🔥 Внимание, хакеры и штурмовики флагов! 🔥 У меня для вас жёсткий подгон - сразу 3 книги по CTF всего за 1200 рублей. Но есть нюанс: акция действует всего 3 дня (15-17 июня включительно). Дальше - поезд уйдёт, и ценник вернётся к обычному. Что в комплекте? 📘 1. Основы CTF: Практическое руководство из окопов (1000 руб. вне акции) https://vk.com/market/product/elektronnaya-kniga-osnovy-ctf-prakticheskoe-rukovodstvo-iz-okopov-44038255-12085168 Если ты новичок в CTF или пробовал, но застревал на простых тасках - эта книга станет твоим боевым наставником...

Сегодня день блогера. Я занимаюсь ведением блогов профессионально с 2017 года, и за все время набрал в узкоспециализированную нишу Кибербеза 80 000+ подписчиков, что позволило мне стать медийной личностью...

! 12 июня — день, когда даже firewall опускает руки и пропускает тепло. 🔥 Желаю вам: только ответственного disclosure, bounty без потолка, и чтобы каждый ваш report помечался Critical. Ломайте системы — но только с разрешения...

». Сейчас можно оформить предзаказ, по цене: 1499 руб. Цена, после релиза: 2200 руб. Раздел 10.1. Почему дорогие баги часто выглядят скучно Представь, что ты нашел крутую SQL-инъекцию, обфусцировал пейлоад, обошел WAF и вытащил таблицу users. Это красиво, технично и требует глубоких знаний. Ты сдаешь репорт, получаешь $5,000 и статус хакера. А теперь представь другую ситуацию. В магазине есть купон DISCOUNT10 на скидку 10%. Ты кидаешь этот купон в корзину в Burp Repeater. А потом нажимаешь кнопку Send 20 раз подряд (Race Condition) или отправляешь массив ["DISCOUNT10", "DISCOUNT10"] (как мы обсуждали в Главе 3)...