Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

🔥 Дневник Хакера | Первый Bug Bounty репорт в новой программе 24.10.2025 Что тестировал 🎯 ❌ IDOR на User endpoints → SPA routing блокирует, защита работает ❌ Self-referral attack → Защита есть, ref_balance не изменился ✅ Email Verification Bypass → Нашёл уязвимость! 🔍 Суть находки 💡 После регистрации система отправляет email подтверждения, но НЕ требует его для доступа к функционалу. Response: { "activated": false, // Email не подтверждён "demo_balance": "3000.00", // Но средства доступны "is_partner": true // Статус активен } + sessionid cookie // Сессия выдана Impact 💣 1. Email Bombing: Регистрация 1000+ аккаунтов с email жертвы → спам-флуд 2...

#blog #bug_bounty Плюсы успешного участия в Баг-Баунти программах на специализированных платформах заключается в том, что существуют приватные программы, в которых конкуренция значительно ниже.

🔥 Дневник хакера: Автосканеры — это ловушка 23.10.2025 Написал свой сканер уязвимостей на Python. Запустил на таргете из BB программы 🎯 Результат сканера: ✅ 15 уязвимостей ✅ 8x CRITICAL (CVSS 9.1) ✅ Потенциал: $5000-15000 Я уже праздновал… пока не проверил вручную 😅 curl -s https://target/.env | head -3 # <!doctype html> # <html lang="ru"> Реальность: ВСЕ “уязвимости” = одна HTML страница! 🤦‍♂️ Сайт на Vue.js/Vite возвращает 200 OK для любого пути (SPA routing). Мой сканер проверял только status код, без анализа контента. Итого: 15 “критичных” находок → 0 реальных багов → $0 Уроки 📚 ❌...

Здравствуйте, дорогие друзья! Электронная книга: «Хакинг с помощью искусственного интеллекта»: Полностью переработанное издание - готова! Твой sqlmap устарел. Пока ты ищешь XSS, автономный AI-агент уже получил RCE через уязвимость в ML-пайплайне. Пока ты сканируешь порты, deepfake-копия CEO уже выводит деньги со счетов. Мир разделился на тех, кто использует AI для атаки, и тех, кого взломают с его помощью. «Хакинг с помощью искусственного интеллекта»” — это твой арсенал на 2025 год. 742 страницы...

#blog #xss 💣 Свою первую уязвимость я нашёл за 3 минуты. И это было эпично Reflected XSS. Кастомный payload. Боевой пентест для реального клиента, не баг-баунти со своими рамками и политиками — чистый хардкор. https://vk.com/@hacker_timcore-svou-pervuu-uyazvimost-ya-nashel-za-3-minuty-i-eto-bylo

Директива: ломай то, что понимаешь сам В этой книге не будет банального урока по TensorFlow. Она — manual по тому, как современные, реальные AI-powered атаки работают и как их можно распознать и заблокировать. Здесь roadmaps, PoC-кейсы, работающие payloadы и свежие CVE, которые успели слить только вчера с приватного форума. За каждым эксплойтом — новая философия взлома, где скорость обновления модели важнее, чем физический доступ к серверу. Готов? Добро...

#blog #ai Кусочек из книги: Введение: Новая эра атак Почему всё изменилось: от ChatGPT до автономных агентов Пролетаем мимо эпохи, где «хакеры» юзали только эксплойты под Windows XP или фишинг-рассылки из 2008. Сегодня любая уважающая себя атака почти на 100% leverages ИИ — и если год назад это кто-то спорил, то в 2025-м спорить бессмысленно: ты либо гоняешь LLM-агентов, либо тебя взломает школьник с подпиской на «SkyNetGPT». Чем был хакер в 2010-х? Солидный чел с Metasploit, Wireshark и вечно дырявым WordPress...

Всем привет! Я Михаил Тарасов (aka timcore) 👋 Решил познакомиться поближе и рассказать, чем занимаюсь, пока вы листаете ленту ☕ Кто я такой? 🤔 Этичный хакер с 2017 года 💻 — начинал с CTF-соревнований, где в 2021 году занял 1-е место по России на платформе TryHackMe 🏆 Последние 2 месяца активно занимаюсь баг-баунти и уже вхожу в топ-300 хакеров РФ 🔍 Сдал отчёты на разных платформах: • Standoff365 — 13 отчётов • Яндекс — 10 отчётов • BugBounty.ru — 3 отчёта • Другие площадки — 70 отчётов Бизнесмен 📈 — развиваю 7 стартапов (6 в IT-сфере, 1 в финансах): • timcore...

#blog #2fa 🎭 Как я притворился легитимным пользователем и обошёл 2FA Привет, хакеры! 🔐 Сегодня разберём самую интересную тему — обход двухфакторной аутентификации. Все думают, что 2FA = неприступная крепость, но это не так. https://vk.com/@hacker_timcore-kak-ya-pritvorilsya-legitimnym-polzovate

#blog #bug_bounty Являюсь активным Баг-Хантером, и вхожу в топ-300 хакеров по РФ. На Standoff365 сдал 13 отчетов. BugBounty.ru - 3 отчета. Яндекс - 10 отчетов. Другие платформы: 70 отчетов. - Standoff 365 Bug Bounty: зарегистрировано 27 000 исследователей (2025), выплачено 285 млн ₽ за 3 года, география 60 стран. - Standoff 365 Bug Bounty: 18 400 зарегистрированных исследователей к концу 2024 года (для динамики)...

#blog #bug_bounty 📡 Nuclei templates: как я нашёл 50 багов за ночь на автомате. Потенциальный bounty: ₽4,200,000+ ($45k+) Привет, хакеры! 💻 Устал тратить 8 часов на ручное тестирование одной цели? Сегодня расскажу, как я запустил скрипт перед сном и проснулся с 50 найденными багами. https://vk.

#forensics OSINT для бизнеса: как легально «пробить» конкурента, партнёра или инвестора Окей, предприниматель, садись поудобнее. Сейчас я научу тебя тому, что крупные корпорации делают через целые отделы безопасности, а ты будешь делать сам. OSINT для бизнеса — это не шпионаж из фильмов про Джеймса Бонда, это методичная работа с открытыми данными. Легально, эффективно и чертовски полезно, когда решаешь: вкладывать ли миллион в стартап или этот “перспективный партнёр” на самом деле банкрот с тремя судимостями. Подробнее: https://timforensics.ru/osint-dlya-biznesa-kak-legalno-probit-konkurenta-partnyora-ili-investora/ Другие наши проекты: https://timcore...