#forensics

Анти-форензика: как преступники прячут следы (и как мы их всё равно находим)

Каждый раз, когда в новостях говорят про очередного кибер-гения, который «не оставил следов», я усмехаюсь. Следы есть всегда. Вопрос лишь в том, насколько глубоко они зарыты и хватит ли у специалиста терпения, инструментов и чая, чтобы до них докопаться. Анти-форензика — это не магия, а набор методов, направленных на одно: помешать нам, криминалистам, делать свою работу.

Подробнее: https://timforensics.ru/anti-forenzika-kak-prestupniki-pryachut-sledy-i-kak-my-ih-vsyo-ravno-nahodim/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Алиби по пульсу: что могут рассказать фитнес-трекеры и умные часы

В мире цифровой криминалистики мы привыкли копаться в жестких дисках и логах серверов. Но в последние годы самый интересный источник данных перекочевал прямо на тело человека. Фитнес-браслеты и умные часы — это не просто гаджеты. Это персональные «чёрные ящики», которые с пугающей точностью записывают историю жизни своего владельца. И когда эта история расходится с официальными показаниями, начинается самое интересное.

Подробнее: https://timforensics.ru/alibi-po-pulsu-chto-mogut-rasskazat-fitnes-trekery-i-umnye-chasy/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Книга: «Все об уязвимости XSS». Глава 4. Классические векторы атаки 💉 • <script> тэги: олдскульная классика

Если бы у XSS был свой пантеон богов, то тег <script> занимал бы в нём место Зевса. Это прародитель, альфа и омега, тот самый OG (Original Gangster) из мира веб-уязвимостей. Все эти новомодные onerror , <svg> , DOM Clobbering — это его дети и внуки. Но, как и с хорошим виски или старым рок-н-роллом, классика не стареет. И сегодня, в 2025 году, грамотно вставленный тег <script> всё так же способен положить на лопатки самые навороченные веб-приложения. Давай разберём, почему этот старичок до сих пор в строю и как заставить его работать на тебя.

https://vk.com/@hacker_timcore-kniga-vse-ob-uyazvimosti-xss-glava-4-klassicheskie-vektory-a

#books #xss #blog

#gemini3pro

Вышла Gemini 3 Pro: новая эра искусственного интеллекта от Google

Google представила Gemini 3 Pro — свою самую мощную и интеллектуальную языковую модель, которая станет началом нового этапа развития искусственного интеллекта компании. Модель доступна уже сегодня в режиме превью для всех желающих, а также для подписчиков Google AI Pro и Ultra в поиске Google, для разработчиков в API и различных платформах Google.

Подробнее: https://timneuro.ru/vyshla-gemini-3-pro-novaya-era-iskusstvennogo-intellekta-ot-google/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

🩸 Дневник Хакера: FIRST BLOOD!
20.11.2025


Помните ту историю с Bug Bounty, где я уже думал забить из-за игнора? Так вот… ОНИ ЗАПЛАТИЛИ! 💵🥳


⚡️ Ситуация
Я ждал ответа 2 недели. Отправил вежливый “пинок” (follow-up). И сегодня прилетело письмо счастья!
🎯 Результат (под NDA, без имён)


✅ Уязвимость: Подтверждена! (Логическая ошибка в регистрации) ✅ Статус: Paid 💰 Bounty: $150


📉 Ожидание vs Реальность
Я оценивал баг как Medium ($300-750), потому что impact реальный. Вендор оценил как Low ($150).


Их аргумент: “Это сделано для повышения конверсии, но спасибо, что подсветили риски” 😅 Классика! “Это не баг, это фича для бизнеса”. Но платить пришлось, потому что я доказал, как это можно абузить.


🧠 Выводы
1. Настойчивость решает. Если бы я не отправил follow-up, репорт бы так и висел в “игноре”.
2. Downgrade — это норма. Компании всегда стараются занизить критичность, чтобы сэкономить. Не расстраиваемся, берем деньги и опыт.
3. Система работает. Я нашел дыру, зарепортил, получил кэш. Цикл замкнулся!


🚀 Что дальше?
$150 — это приятно (на пиццу и травяной чай хватит 🍕), но главное — я теперь верифицированный хантер в их программе. У них есть деньги, и они платят.


Теперь я знаю их логику. Иду искать Critical уязвимости, там бюджеты уже поинтереснее ($1500+).


P.S. Первый пейчек — он как первая любовь. Запоминается навсегда! 😎


#BugBounty #InfoSec #FirstBlood #BountyHunter #CyberSecurity #Победа #ДневникХакера

Книга: «Все об уязвимости XSS». Глава 4. Классические векторы атаки 💉 • Event handlers: onerror , onload , onmouseover — твои лучшие друзья

Если тег <script> — это прямой удар в челюсть, то event handlers — это удар ножом в спину в тёмном переулке. Тихий, незаметный и смертельно эффективный. Когда WAF блокирует слово script , когда CSP запрещает инлайн-скрипты (иногда криво настроенный), когда фильтры вырезают < и > — именно обработчики событий (event handlers) становятся твоим главным оружием.

Подробнее: https://vk.com/@hacker_timcore-kniga-vs-ob-uyazvimosti-xss-glava-4-klassicheskie-vektory-a

#blog #xss #books

🎓 С чего начать в баг-хантинге: roadmap от нуля до первого bounty

Привет, будущие хакеры! 💻 Вижу, ты устал смотреть на YouTube видосы “Как стать хакером за 24 часа” и решил реально въехать в bug bounty? Красавчик!

Сразу жёсткая правда:

• Первый bounty придёт НЕ через неделю (скорее через 3-6 месяцев)
• Потратишь минимум ₽50k на инструменты и обучение
• Первые 2-3 месяца будешь находить только дубликаты (это норма!)
• НО если не сольёшься, через год будешь в топ-10% и кэшить ₽300k+/месяц

https://vk.com/@hacker_timcore-s-chego-nachat-v-bag-hantinge-roadmap-ot-nulya-do-pervogo-b

#дневникхакера #bugbounty #roadmap #какначать #обучениехакингу #этичныйхакинг #bugbountytips #новичкам #кибербезопасность #первыйбаунти #учимсяхакингу #webскюрити

🔍 Три месяца в баг-хантинге: как я заработал 120к и не сошёл с ума

Всем привет! 💻 Решил поделиться своим опытом в активном баг-хантинге. Три месяца назад я перешёл от теории к практике, и вот что из этого вышло.

📊 Статистика без прикрас
За 3 месяца я отправил 16 репортов:
• ✅ 3 оплаченных бага (2 low, 1 high)
• 📄 11 информационных (да, я знаю, что это боль)
• 🔄 1 дубликат (кто-то меня опередил на 2 дня, зашквар 😤)

Выплаты:
• Первый low: 5,000₽ 💸
• Второй low: 15,000₽ (уже веселее!)
• High-severity: 100,000₽ 🔥💰

Итого: 120,000 рублей за три месяца активного грина.

💣 Что я понял за это время
1. Информативы — это норма, не провал
11 информационных багов — это не “я лох”, а “я копаю глубже, чем нужно для оплаты”. Каждый infoбаг — это +1 к пониманию архитектуры таргета. Да, они не платят, но они учат.
2. High-баг не приходит случайно
Моя сотка не была везением. Это был результат двух недель изучения одной цели: я смотрел каждый эндпоинт, каждый параметр, каждую логику. Когда нашёл уязвимость — сразу понял, что это high. WAF думал, что он умный, но я знал больше 😎
3. Дубликаты — часть игры
Когда увидел “duplicate” в статусе репорта, я был зол. Но потом понял: это значит, что я мыслю в правильном направлении. Если кто-то нашёл это раньше — значит, баг реальный, и я на верном пути 🎯

🔧 Мой стек и подход
• Burp Suite Pro — мой лучший друг (без него никуда)
• Nuclei — для быстрой разведки
• Custom scripts — Python + bash для автоматизации рутины
• Терпение — самый недооценённый инструмент в баг-хантинге

Мой принцип: лучше потратить 3 дня на одну цель и найти high, чем неделю гриндить low-баги на разных программах.

🚀 Что дальше?
Следующая цель — поймать critical. Я уже вижу несколько потенциальных векторов на новых таргетах, так что продолжаю копать 🔍

Если ты только думаешь начать — не бойся информативов и дубликатов. Это часть пути к первой сотке 💰

#bugbounty #ethicalhacking #cybersecurity #bugbountyhunter #infosec

🔮 Тренды в кибербезе: что будут ломать в 2026

Привет, хакеры! 💻 Каждый год появляются новые технологии, а с ними — новые дыры. Я проанализировал рынок, и вот мои предсказания: что будет гореть в 2026 и где самые жирные баунти.

Дисклеймер: Это не хрустальный шар, а анализ текущих трендов + мой опыт. Но будь уверен — кто первым освоит эти направления, тот сорвёт джекпот. 💰

https://vk.com/@hacker_timcore-trendy-v-kiberbeze-chto-budut-lomat-v-2026

#дневникхакера #bugbounty #тренды2026 #кибербезопасность #AIsecurity #web3 #cloudsecurity #IoT #ethicalhacking #futureofhacking #bugbountytips #prediction #cybersecuritytrends

#blog
#anonymity

Анонимна ли социальная сеть ВКонтакте? (Спойлер: нет, братан)

Здравствуйте, дорогие друзья.

ВКонтакте — это не соцсеть, а цифровой СИЗО с лайками. Вот что палит тебя еще до первого поста:
• Регистрация по номеру телефона — привязка к SIM, а значит к паспорту. Даже если купил «левую» карту, операторы логируют SMS-верификацию с геолокацией вышек.
• IP-логи — каждый вход записывается в базу. ВК знает, с какого провайдера, города и даже WiFi-точки ты заходил.
• Браузерный фингерпринт — Canvas, WebGL, шрифты, разрешение экрана. Даже через "сервис на три буквы" тебя вычислят по уникальному отпечатку браузера.
• Cookies и трекеры — пиксели VK ID торчат на половине рунета. Ходишь по сайтам? ВК строит профиль интересов.

Подробнее: https://timcore.ru/2025/11/23/anonimna-li-socialnaja-set-vkontakte-spojler-net-bratan/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

🔒💻 Дневник Хакера: охота на уязвимости в финтехе

Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎)

Что было сделано за сегодня:

🔍 Разведка:
• Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints
• Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!)
• Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠

🛡️ Тестирование безопасности:
• Проверил аутентификацию - используют PKI с цифровыми подписями, солидно!
• Прогнал automated scanners с соблюдением rate-limit (10 req/sec как положено)
• Нашёл несколько интересных зацепок, но пока рано говорить 🤐

💡 Что понял:
Банковская безопасность - это другой уровень. Core системы защищены как надо (PKI, IP whitelist, signing), но веб-приложения всё ещё имеют attack surface. Завтра буду копать глубже в сторону e-commerce части.

📚 Использованные инструменты:
Burp Suite Pro, Nuclei, subfinder, httpx, curl, и конечно же brain.exe 🧠💪

Кайфую от процесса! Это как квест - ищешь слабое место, тестируешь гипотезы, учишь архитектуру. И при этом помогаешь компаниям стать безопаснее 🛡️

P.S. Да, я работаю легально в рамках официальной Bug Bounty программы с signed NDA. Ethical hacking only! 😇

#bugbounty #cybersecurity #ethicalhacking #infosec #pentest #хакинг #кибербезопасность #bugbountyhunter #банки #fintech

#blog
#vulnerability

Чем отличается найденная уязвимость в тестовой среде от бага в реальном проекте? 🔍💣

Слушай, братишка, если ты думаешь, что SQL-инъекция в staging — это то же самое, что дыра в продакшене, то у меня для тебя плохие новости. Давай разберём эту тему как настоящие RedTeam’еры, без воды и с жёсткими примерами.

https://vk.com/@hacker_timcore-chem-otlichaetsya-naidennaya-uyazvimost-v-testovoi-srede-ot

Отзыв. 😇

#forensics

Искусство таймлайна: собираем цифровой день подозреваемого по секундам

Люди любят врать. Свидетели путают время, подозреваемые придумывают алиби про поход к бабушке, а камеры наблюдения вечно смотрят не в ту сторону. Но есть один свидетель, который (почти) никогда не врет: файловая система.
Таймлайн — это святой грааль форензики. Это способ взять кучу разрозненного мусора — логи, метаданные, кэши — и выстроить их в одну жесткую линию, которая пригвоздит вашего «клиента» к месту преступления точнее, чем отпечатки пальцев. Сегодня я расскажу, как мы собираем этот цифровой пазл, и почему ваш компьютер знает о вас больше, чем вы сами.

Подробнее: https://timforensics.ru/iskusstvo-tajmlajna-sobiraem-czifrovoj-den-podozrevaemogo-po-sekundam/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Слежка через DNS: как доменный сервер выдаёт все твои секреты

Вы можете обмазаться VPN-ами, заклеить веб-камеру синей изолентой и использовать HTTPS везде, где только можно. Но если вы оставили настройки DNS по умолчанию — поздравляю, вы ходите по улице голым, прикрываясь прозрачным полиэтиленом.
DNS (Domain Name System) — это телефонная книга интернета. Вы вводите google.com , а DNS-сервер говорит вашему компьютеру: «Иди по адресу 142.250.x.x». И вот в чем ирония: пока содержание вашего разговора (HTTPS) зашифровано, то, кому вы звоните, видно всем, кто стоит на раздаче.
Давайте разберем, как этот древний протокол превращает вашу цифровую жизнь в открытую книгу для провайдера, хакеров и таких специалистов, как я.

Подробнее: https://timforensics.ru/slezhka-cherez-dns-kak-domennyj-server-vydayot-vse-tvoi-sekrety/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#blog@timneuro
#grok@timneuro

Вышел Grok 4.1 от Илона Маска

Компания xAI Илона Маска официально представила Grok 4.1 — новую версию своего AI-чатбота, которая демонстрирует значительные улучшения в эмоциональном интеллекте, творческих способностях и точности ответов. Модель стала доступна 17 ноября 2025 года для всех пользователей через grok.com, платформу X (Twitter) и мобильные приложения.

Подробнее: https://timneuro.ru/vyshel-grok-4-1-ot-ilona-maska/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵️‍♂️ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей, подписчиков в представленных сайтах и пабликах вк.

🚨 ЭЙ, НАРОД! Ухожу в chill-режим до 12 января 2026 🚨

С сегодняшнего дня по 12 января 2026 я валю в отпуск. Буду перезагружать мозги после года в режиме «взломал-запатчил-написал-снова взломал» 🔄💣
Что это значит для вас:
❌ Контент по этичному хакингу — в паузе
❌ Баг-баунти разборы — на hold
❌ Программирование — чуть позже
❌ Форензика — тоже отдыхает

НО! 👀 Возможно (без гарантий, но шансы есть) выкачу вам книгу про кибердетектива 📚🔍 — она в процессе написания, и если муза не сольется, то увидите что-то сочное.

Почему отпуск?
Потому что даже 0day’и нуждаются в обновлении. После года в траншеях Red Team’а, багов и книг про AI-хакинг — пора немного пожить в мире, где единственная уязвимость — это отсутствие WiFi на пляже 🏖️😎

Вернусь:
12 января с новыми силами, свежими кейсами, жирными багами 🔥

До встречи в 2026-м, красавчики! Stay safe, stay 1337 💯

И помните: пока я отдыхаю, ваши пароли всё ещё должны быть сильными 🔐

#отпуск #cybersecurity #bugbounty #этичныйхакинг #forensics #кибердетектив #до2026 #redteam #хакербаунти