Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

📓Дневник хакера: первый день в баг-баунти Яндекса 🚀 Сегодня стартовал мой новый рейд — баг-баунти по Яндексу. Это была жесткая, но мегакрутая катка: • Разобрал все правила, оферты и скоупы — чётко, чтоб не спалиться и делать дело в белую. Да, тут не шутки, охота идет по жестким правилам. • Впитал дух программы, чтобы знать, что платят, а за что даже не взглянут. Ну и понял, куда стрелять — и где совсем нельзя трогать. • Написал несколько скриптов на Python для сбора и фильтрации поддоменов, проверки...

#pentest #badusb BadUSB на стероидах: от флешки-утёнка до кабеля-убийцы Внешне — обычная флешка, клавиатура или даже кабель зарядки. Внутри — эксплойт, который ломает всё, к чему его подключили. BadUSB — это концепция атакующего USB-устройства, которое маскируется под легитимное, но выполняет произвольный код. Эта штука уже лет десять как на сцене, но эволюционировала настолько, что сегодня её можно встретить в абсолютно нетривиальной форме. Подробнее: https://timcore.ru/2025/09/05/badusb-na-steroidah-ot-fleshki-utjonka-do-kabelja-ubijcy/ Другие наши проекты: https://timcore.ru/ https://timcourse...

#pentest CI/CD в огне: как угнать ключи от продакшена через Jenkins и GitHub Actions CI/CD сегодня — это сердце любой современной разработки. Jenkins, GitHub Actions, GitLab CI — без них релизить в продакшен с человеческой скоростью и безопасностью невозможно. Но там, где автоматизация, там и уязвимости. В руках хакера CI/CD превращается в золотую жилу: стоит пробиться в пайплайн, и можно вытянуть ключи от продакшена, токены доступа и вообще всё, чем живёт инфраструктура. Подробнее: https://timcore.ru/2025/09/05/ci-cd-v-ogne-kak-ugnat-kljuchi-ot-prodakshena-cherez-jenkins-i-github-actions/ Другие наши проекты: https://timcore...

Здравствуйте, дорогие друзья. Внимание!!! Сентябрьская распродажа классического базового видеокурса - «Этичный взлом.», 3 дня, с 4-го по 6-е сентября включительно. Скидка 84%, и итоговая цена в этот период составляет всего 4000 рублей. Плюс бонус: 12 моих книг: 1. «Хакинг на JavaScript». 2. «Хакерские инструменты на PHP8». 3. «Заработок для хакера». 4. «Capture the Flag (CTF). VulnHub 8 райтапов». 5. «Cross Site Request Forgery». 6. «Программирование на Go для начинающих». 7. ««Программирование на С для начинающих»...

#blog #openai ChatGPT получит обновление системы безопасности Компания OpenAI готовит важное обновление системы безопасности ChatGPT, которое будет внедрено до конца 2025 года. Основные нововведения касаются усиления мер защиты для пользователей, находящихся в эмоциональном стрессе, а также для подростков. Одной из ключевых функций станет обновленный «роутер» системы, который сможет распознавать, когда пользователь испытывает острое эмоциональное расстройство, и перенаправлять такие запросы на специальные модели ИИ, оптимизированные для более осторожных и полезных ответов. Подробнее: https://timneuro...

#blog #openai OpenAI приобрела аналитическую платформу Statsig за $1,1 млрд OpenAI приобрела аналитическую платформу Statsig за $1,1 млрд в акциях, что стало одной из крупнейших сделок в истории компании-разработчика ChatGPT. Подробнее: https://timneuro.ru/openai-priobrela-analiticheskuyu-platformu-statsig-za-11-mlrd/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics.ru/ https://tarasovinvest.ru/ https://mikhailtarasovcom.ru/ https://timrobot.ru/ https://timneuro.ru/ 👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle. 🏫 vk.com/school_timcore - Школа этичного хакинга Timcore...

📝 Дневник хакера: реальный кейс аудита безопасности веб-сайта Недавно поступил заказ — проверить безопасность интернет-магазина. Бизнес нарастает, клиенты приходят, а у админа внутри тревога: «а вдруг нас взломают?» Начал с классики — аудит фронта и бэка, но самое забавное спряталось за фасадом. ⚡ Точка входа • Обычная форма для ввода email, регистрация и личный кабинет. • Видим — параметры идут через GET и POST, валидируются только на фронте. 🔍 Что бросилось в глаза • В JS-файле спалился debug-метод, который сливает все cookies в консоль (автор явно забыл). • На сайте нет нормального rate-limit — brute-force на пароли летит без труда...

📝 Дневник хакера: программер vs этичный хакер — в чём разница? Когда думают о программировании, первым делом вспоминают разработку приложений, сайтов, софта. Но если копнуть глубже — ты поймёшь: программирование для этичного хакинга и для обычной разработки — это два разных мира с разными задачами и целями. ⚡ Принципиальные различия: 1. Цель и ментальность • Обычный девелопер пишет код, чтобы строить функционал, делать интерфейс, оптимизировать процессы для пользователя и бизнеса. Задача — создать работающий, удобный, масштабируемый продукт. • Этичный хакер пишет скрипты и эксплойты, чтобы ломать этот продукт (но законно!), выявлять уязвимости и показывать, где система слаба...

#forensics Блокчейн-расследования: следим за “невидимыми” крипто-транзакциями без магии” Блокчейн-расследования — это не алхимия и не шаманство, а скучно-безжалостная математика и анализ, где магия нужна только тем, кто застрял в 2015 году. Так что забудьте про мистику: даже «невидимые» транзакции крипты — просто жирные следы на цифровом асфальте, если знаешь, где смотреть и чем ковырять. Подробнее: https://timforensics.ru/blokchejn-rassledovaniya-sledim-za-nevidimymi-kripto-tranzakcziyami-bez-magii/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics.ru/ https://tarasovinvest...

#forensics Мобильная форензика: смартфоны как чёрные ящики авиалайнеров (только с твоими секретами) Мобильная форензика — это твой ларец Пандоры с цифровыми скелетами, только вместо древних страшилок — свеженькие данные, которые ты думал, что навечно отправил в корзину. Смартфоны сегодня — практически копия чёрных ящиков авиалайнеров: оба хранят правду, пусть даже ты очень не хочешь, чтобы она выплыла наружу. Но в отличие от авиационного чёрного ящика, который героически ждет своего часа после крушения, твой телефон каждую секунду пишет новую главу дневника твоей жизни — и однажды его обязательно попросят прочитать вслух...

🚀 Я AI-программист — и это не просто ещё один тип кода. Это формально новая профессия, где ты не просто тыкаешь кнопки, а становишься настоящим архитектором цифрового мира. Раньше был классический девелопер — пишешь code, дебажишь, решаешь баги. Сегодня AI-программисты не просто пишут, они формируют контуры решений, обучают нейронки и проектируют систему интеллекта, которая будет думать и решать задачи вместо нас. Это как если бы ты не только строил дом, а запускал путеводитель, чтобы роботы строили за тебя, а ты следил, как всё растёт, и вовремя подправлял архитектуру...

📓 Дневник хакера: C — тяжёлая артиллерия багханта 💠 Сегодня достаю дедовский арсенал — C. Это язык, где бит и байт — не просто код, а настоящее поле битвы 😈. ⚡ Почему C — это артиллерия хакера: • Здесь пишутся самые низкоуровневые эксплойты: от buffer overflow до обхода DEP/ASLR — разруливай память как мастер и ломай всё, что плохо лежит. • Настоящая бинарная магия: разбираешь ELF/PE, подкидываешь shellcode, делаешь injectы — тут важен каждый байт, тут мутации как в лаборатории. • C — это ручной exploit dev, когда автоматикой не отделаешься. На нём ковыряешь вылеты, бьёшь по GOT, рисуешь ROP-цепочки как художник...