Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

Хватит тыкать в JADX наугад и молиться, чтобы модификация собралась без ошибок. Пора переходить в высшую лигу. Предзаказ официально закрыт. Релиз состоялся! Моя книга «Android-хакинг с нуля: реверс, патчинг и первые модификации приложений» уже доступна и готова прокачать твои скиллы до уровня профи. Сразу предупреждаю: это не академический учебник, от которого клонит в сон. Это 408 страниц чистого хардкора, практики и боли, превращенной в опыт. Я написал её так, чтобы новичок понял, как устроена...

#webrtc WebRTC Leaks и атаки на P2P: как деанонимизировать пользователя через браузер WebRTC (Web Real-Time Communication) - это браузерный стандарт для голосовых и видеозвонков, передачи данных прямо между браузерами без плагинов. Но за этим удобством скрывается фундаментальная проблема: протокол раскрывает реальный IP-адрес пользователя, даже если тот сидит за VPN. Разбираем механику до байта и показываем, как это использовать в атаке. Подробнее: https://timcore.ru/2026/05/12/webrtc-leaks-i-ataki-na-p2p-kak-deanonimizirovat-polzovatelja-cherez-brauzer/ Другие наши проекты: https://timcore...

#webrtc WebRTC Leaks и атаки на P2P: как деанонимизировать пользователя через браузер WebRTC (Web Real-Time Communication) - это браузерный стандарт для голосовых и видеозвонков, передачи данных прямо между браузерами без плагинов. Но за этим удобством скрывается фундаментальная проблема: протокол раскрывает реальный IP-адрес пользователя, даже если тот сидит за VPN. Разбираем механику до байта и показываем, как это использовать в атаке. Подробнее: https://timcore.ru/2026/05/12/webrtc-leaks-i-ataki-na-p2p-kak-deanonimizirovat-polzovatelja-cherez-brauzer/ Другие наши проекты: https://timcore...

#oauth OAuth 2.0 Device Flow: как угнать токен через телевизор OAuth 2.0 Device Flow - это поток авторизации, спроектированный для устройств без клавиатуры и браузера: смарт-ТВ, игровых консолей, CLI-инструментов и IoT-девайсов. Но там, где есть удобство - есть и уязвимости, и сегодня мы вскроем всё по-честному. Подробнее: https://timcore.ru/2026/05/12/oauth-2-0-device-flow-kak-ugnat-token-cherez-televizor/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics.ru/ https://tarasovinvest.ru/ https://mikhailtarasovcom.ru/ https://timrobot.ru/ https://timneuro.ru/ 👨‍💻 vk...

#oauth OAuth 2.0 Device Flow: как угнать токен через телевизор OAuth 2.0 Device Flow - это поток авторизации, спроектированный для устройств без клавиатуры и браузера: смарт-ТВ, игровых консолей, CLI-инструментов и IoT-девайсов. Но там, где есть удобство - есть и уязвимости, и сегодня мы вскроем всё по-честному. Подробнее: https://timcore.ru/2026/05/12/oauth-2-0-device-flow-kak-ugnat-token-cherez-televizor/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics.ru/ https://tarasovinvest.ru/ https://mikhailtarasovcom.ru/ https://timrobot.ru/ https://timneuro.ru/ 👨‍💻 vk...

#oauth OAuth 2.0 Device Flow: как угнать токен через телевизор OAuth 2.0 Device Flow — это поток авторизации, спроектированный для устройств без клавиатуры и браузера: смарт-ТВ, игровых консолей, CLI-инструментов и IoT-девайсов. Но там, где есть удобство — есть и уязвимости, и сегодня мы вскроем всё по-честному. Подробнее: https://timcore.ru/2026/05/12/oauth-2-0-device-flow-kak-ugnat-token-cherez-televizor/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics.ru/ https://tarasovinvest.ru/ https://mikhailtarasovcom.ru/ https://timrobot.ru/ https://timneuro.ru/ 👨‍💻 vk...

:) #blog #ctf #tryhackme

:) #blog #ctf #tryhackme

💀 Я видел это сотни раз. Человек загорается, ставит Burp Suite, проходит пару курсов - и через полгода тишина. Аккаунт на платформе пылится, а сам он пишет где-то «баунти - это не для всех». Так вот. Это не про талант. Это про конкретные ошибки. 🔴 Ошибка #1 - Охота на всё и сразу Новичок открывает программу с огромным скоупом и начинает тыкать везде. XSS тут, SQLi там, SSRF вон там. Результат - ноль репортов и выгорание за 3 недели. Фикс: выбери один тип уязвимостей и один тип таргетов. Стань снайпером, а не пулемётчиком...

проявили несгибаемую волю, чтобы подарить нам мирное небо. Пусть этот праздник всегда напоминает нам о ценности жизни, непоколебимой силе духа и важности защиты того, что нам по-настоящему дорого. Желаю...

19 марта 2026 года сообщество DevSec-специалистов получило неприятный сюрприз: Trivy - один из самых популярных open-source сканеров уязвимостей от Aqua Security - оказался скомпрометирован группировкой TeamPCP. И нет, это не баг в коде. Это атака на доверие. 🎯 Как это было: 5 фаз домино ➤ Фаза 1 - Точка входа Ещё в конце февраля атакующие нашли misconfiguration в GitHub Actions окружении Trivy и утащили привилегированный access token. Типичный «открытый люк в подвале». ➤ Фаза 2 - Недоротация 1 марта команда Aqua Security раскрыла инцидент и провела ротацию credentials...

AI Red Team - не «сделал раз и забыл». Модели обновляются, промпты меняются, новые интеграции появляются. Правильная схема: Pre-release → полный red team engagement Post-update → targeted regression testing Continuous → автоматический скан в CI/CD pipeline Quarterly → полный пересмотр threat model Integrating Garak/Promptfoo в CI/CD - это уже стандарт у зрелых команд в 2026-м. Каждый деплой = автоматический red team тест. 🏆 Итог серии За восемь постов мы прошли путь от «что такое prompt injection» до полноценной AI Red Team методологии. Вот весь арсенал в одну строку: Разведка...