Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)

🔥 Дневник Хакера | Первый Bug Bounty репорт в новой программе 24.10.2025 Что тестировал 🎯 ❌ IDOR на User endpoints → SPA routing блокирует, защита работает ❌ Self-referral attack → Защита есть, ref_balance не изменился ✅ Email Verification Bypass → Нашёл уязвимость! 🔍 Суть находки 💡 После регистрации система отправляет email подтверждения, но НЕ требует его для доступа к функционалу. Response: { "activated": false, // Email не подтверждён "demo_balance": "3000.00", // Но средства доступны "is_partner": true // Статус активен } + sessionid cookie // Сессия выдана Impact 💣 1. Email Bombing: Регистрация 1000+ аккаунтов с email жертвы → спам-флуд 2...

#blog #bug_bounty Плюсы успешного участия в Баг-Баунти программах на специализированных платформах заключается в том, что существуют приватные программы, в которых конкуренция значительно ниже.

🔥 Дневник хакера: Автосканеры — это ловушка 23.10.2025 Написал свой сканер уязвимостей на Python. Запустил на таргете из BB программы 🎯 Результат сканера: ✅ 15 уязвимостей ✅ 8x CRITICAL (CVSS 9.1) ✅ Потенциал: $5000-15000 Я уже праздновал… пока не проверил вручную 😅 curl -s https://target/.env | head -3 # <!doctype html> # <html lang="ru"> Реальность: ВСЕ “уязвимости” = одна HTML страница! 🤦‍♂️ Сайт на Vue.js/Vite возвращает 200 OK для любого пути (SPA routing). Мой сканер проверял только status код, без анализа контента. Итого: 15 “критичных” находок → 0 реальных багов → $0 Уроки 📚 ❌...

Здравствуйте, дорогие друзья! Электронная книга: «Хакинг с помощью искусственного интеллекта»: Полностью переработанное издание - готова! Твой sqlmap устарел. Пока ты ищешь XSS, автономный AI-агент уже получил RCE через уязвимость в ML-пайплайне. Пока ты сканируешь порты, deepfake-копия CEO уже выводит деньги со счетов. Мир разделился на тех, кто использует AI для атаки, и тех, кого взломают с его помощью. «Хакинг с помощью искусственного интеллекта»” — это твой арсенал на 2025 год. 742 страницы...

#blog #xss 💣 Свою первую уязвимость я нашёл за 3 минуты. И это было эпично Reflected XSS. Кастомный payload. Боевой пентест для реального клиента, не баг-баунти со своими рамками и политиками — чистый хардкор. https://vk.com/@hacker_timcore-svou-pervuu-uyazvimost-ya-nashel-za-3-minuty-i-eto-bylo