#web
#waf
#bypass
Обход WAF через большое количество символов
Если Вы столкнулись с WAF, то для POST, PUT или PATCH запросов попробуйте вставить в параметр бесполезные символы с произвольными данными, размером от 8 КБ до 10 МБ, ПЕРЕД Вашей вредоносной полезной нагрузкой.
Некоторые WAF прекращают обработку после X символов полезной нагрузки, разрешая все ПОСЛЕ этого. Рандомные символы можно сгенерировать по ссылке: https://onlinefiletools.com/generate-random-text-file.
#waf
#bypass
Обход WAF через большое количество символов
Если Вы столкнулись с WAF, то для POST, PUT или PATCH запросов попробуйте вставить в параметр бесполезные символы с произвольными данными, размером от 8 КБ до 10 МБ, ПЕРЕД Вашей вредоносной полезной нагрузкой.
Некоторые WAF прекращают обработку после X символов полезной нагрузки, разрешая все ПОСЛЕ этого. Рандомные символы можно сгенерировать по ссылке: https://onlinefiletools.com/generate-random-text-file.
Onlinefiletools
Create a Random Text File - Online File Tools
This utility creates text files with random contents. You can customize the file size and adjust what goes in the file. Try it out!
#waf
#web_application_firewall
#bypass
Основные приемы обхода брандмауэра веб-приложений (WAF).
Здравствуйте, дорогие друзья.
Обход брандмауэра веб-приложений (WAF) — обычная проблема для веб-разработчиков и специалистов по безопасности. WAF предназначен для защиты веб-приложений от вредоносных атак, таких как SQL-инъекции, межсайтовый скриптинг, и других вредоносных действий. Однако его также можно использовать для блокировки легитимных запросов, например, от сканеров поисковых систем. В этой статье мы обсудим, как обойти WAF и методы, используемые для этого.
Подробнее: https://timcore.ru/2023/02/24/osnovnye-priemy-obhoda-brandmaujera-veb-prilozhenij-waf/
#web_application_firewall
#bypass
Основные приемы обхода брандмауэра веб-приложений (WAF).
Здравствуйте, дорогие друзья.
Обход брандмауэра веб-приложений (WAF) — обычная проблема для веб-разработчиков и специалистов по безопасности. WAF предназначен для защиты веб-приложений от вредоносных атак, таких как SQL-инъекции, межсайтовый скриптинг, и других вредоносных действий. Однако его также можно использовать для блокировки легитимных запросов, например, от сканеров поисковых систем. В этой статье мы обсудим, как обойти WAF и методы, используемые для этого.
Подробнее: https://timcore.ru/2023/02/24/osnovnye-priemy-obhoda-brandmaujera-veb-prilozhenij-waf/
Этичный хакинг с Михаилом Тарасовым (Timcore)
Основные приемы обхода брандмауэра веб-приложений (WAF). - Этичный хакинг с Михаилом Тарасовым (Timcore)
Обход брандмауэра веб-приложений (WAF) - обычная проблема для веб-разработчиков и специалистов по безопасности. WAF предназначен для защиты веб-приложений от вредоносных атак, таких как SQL-инъекции, межсайтовый скриптинг, и других вредоносных действий. Однако…
#books
#web
Название: Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Автор: Таня Янка
Год: 2023
У вас в руках идеальное руководство для тех, кто только начинает свой путь в веб-разработке и хочет научиться создавать безопасные веб-приложения. Автор подробно описывает основные уязвимости веб-приложений и предлагает практические советы по их предотвращению. Книга содержит множество примеров кода и наглядных иллюстраций, которые помогут вам лучше понять, как работают уязвимости и как их можно избежать.
Скачать.
#web
Название: Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Автор: Таня Янка
Год: 2023
У вас в руках идеальное руководство для тех, кто только начинает свой путь в веб-разработке и хочет научиться создавать безопасные веб-приложения. Автор подробно описывает основные уязвимости веб-приложений и предлагает практические советы по их предотвращению. Книга содержит множество примеров кода и наглядных иллюстраций, которые помогут вам лучше понять, как работают уязвимости и как их можно избежать.
Скачать.
#bwapp
#hacking
#web
Видеоуроки bWAPP (buggy web application).
Завершил запись видеоуроков по веб-уязвимостям категории A1 - Injection и A2 - Broken Auth. & Session Mgmt, приложения bWAPP (buggy web application), по методологии OWASP Top-10.
Суть предложения сводится к тому, что я хочу записать 10 категорий (осталось 8), и Вы своей поддержкой можете помочь мне более быстро завершить запись видеоуроков по уязвимостям.
Для тех, кто приобретает сейчас видеоуроки по цене 3000 рублей, дальнейшие блоки видеоуроков будут отправлены бесплатно, в качестве бонусов к текущей покупке.
Как Вы знаете, у меня есть книга по этой тематике, но более наглядным будет изучение видеоуроков, поэтому решил записать видео.
Если интересно, то пишите по контактам: @timcore1
https://youtu.be/km3O3tLV654
#hacking
#web
Видеоуроки bWAPP (buggy web application).
Завершил запись видеоуроков по веб-уязвимостям категории A1 - Injection и A2 - Broken Auth. & Session Mgmt, приложения bWAPP (buggy web application), по методологии OWASP Top-10.
Суть предложения сводится к тому, что я хочу записать 10 категорий (осталось 8), и Вы своей поддержкой можете помочь мне более быстро завершить запись видеоуроков по уязвимостям.
Для тех, кто приобретает сейчас видеоуроки по цене 3000 рублей, дальнейшие блоки видеоуроков будут отправлены бесплатно, в качестве бонусов к текущей покупке.
Как Вы знаете, у меня есть книга по этой тематике, но более наглядным будет изучение видеоуроков, поэтому решил записать видео.
Если интересно, то пишите по контактам: @timcore1
https://youtu.be/km3O3tLV654
YouTube
Видеоуроки bWAPP (buggy web application).
Здравствуйте, дорогие друзья.
Завершил запись видеоуроков по веб-уязвимостям категории A1 - Injection и A2 - Broken Auth. & Session Mgmt, приложения bWAPP (buggy web application), по методологии OWASP Top-10.
Суть предложения сводится к тому, что я хочу…
Завершил запись видеоуроков по веб-уязвимостям категории A1 - Injection и A2 - Broken Auth. & Session Mgmt, приложения bWAPP (buggy web application), по методологии OWASP Top-10.
Суть предложения сводится к тому, что я хочу…
#books
#php
#web
Название: PHP 8. Наиболее полное руководство
Авторы: Котеров Д., Симдянов И.
Год: 2023
Книга предоставляет детальное и полное изложение языка PHP 8 от простого к сложному. Ее можно использовать как для изучения языка с нуля, так и для структурирования знаний, изучения тонких моментов синтаксиса и новых возможностей последней версии. Описываются все значимые нововведения. Рассматриваются новые типы, атрибуты, перечисления, именованные аргументы, сопоставления, объединенные типы, новые операторы ?= и ?-> и многое другое. Основной упор в книге делается на объектно-ориентированные возможности языка, поэтому классы и объекты рассматриваются практически с первых глав. Приведено описание синтаксиса PHP, а также инструментов для работы с массивами, файлами, СУБД PostgreSQL, Redis, регулярными выражениями, графическими примитивами, сессиями и т.д.
По сравнению с предыдущей книгой авторов "PHP 7" добавлены 23 новые главы, а остальные обновлены или переработаны.
Скачать.
#php
#web
Название: PHP 8. Наиболее полное руководство
Авторы: Котеров Д., Симдянов И.
Год: 2023
Книга предоставляет детальное и полное изложение языка PHP 8 от простого к сложному. Ее можно использовать как для изучения языка с нуля, так и для структурирования знаний, изучения тонких моментов синтаксиса и новых возможностей последней версии. Описываются все значимые нововведения. Рассматриваются новые типы, атрибуты, перечисления, именованные аргументы, сопоставления, объединенные типы, новые операторы ?= и ?-> и многое другое. Основной упор в книге делается на объектно-ориентированные возможности языка, поэтому классы и объекты рассматриваются практически с первых глав. Приведено описание синтаксиса PHP, а также инструментов для работы с массивами, файлами, СУБД PostgreSQL, Redis, регулярными выражениями, графическими примитивами, сессиями и т.д.
По сравнению с предыдущей книгой авторов "PHP 7" добавлены 23 новые главы, а остальные обновлены или переработаны.
Скачать.
#web
#sql_injection
#xss
Безопасность веб-приложений: Типичные уязвимости и защита от них.
Здравствуйте, дорогие друзья.
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый скриптинг (Cross-Site Scripting, XSS).
Подробнее: https://timcore.ru/2024/01/22/bezopasnost-veb-prilozhenij-tipichnye-ujazvimosti-i-zashhita-ot-nih/
#sql_injection
#xss
Безопасность веб-приложений: Типичные уязвимости и защита от них.
Здравствуйте, дорогие друзья.
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый скриптинг (Cross-Site Scripting, XSS).
Подробнее: https://timcore.ru/2024/01/22/bezopasnost-veb-prilozhenij-tipichnye-ujazvimosti-i-zashhita-ot-nih/
Этичный хакинг с Михаилом Тарасовым (Timcore)
Безопасность веб-приложений: Типичные уязвимости и защита от них. - Этичный хакинг с Михаилом Тарасовым (Timcore)
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый…
#books
#web
#cybersecurity
Название: «Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков.»
Автор: Таня Янка
Год: 2023
Исчерпывающее руководство по безопасности программного обеспечения.
Поддерживать безопасность своих продуктов — одна из первостепенных задач любой современной IT-компании. В этой книге вы найдете пошаговые инструкции по тому, как спроектировать безопасную архитектуру веб-сайтов и приложений и защищать ее на всех этапах производства и реализации. Более того, автор даст ответы на самые распространенные вопросы об информационной безопасности и расскажет о лучших практиках гигантов технологической индустрии, например, Microsoft и Google.
Для кого эта книга:
• специалисты по информационной безопасности;
• практикующие разработчики программного обеспечения;
• инженеры приложений;
• руководители IT-проектов;
• специалисты по тестированию.
Таня Янка, также известная как SheHacksPurple — основательница сообщества и онлайн-академии We Hack Purple, цель которых — научить разработчиков создавать безопасное программное обеспечение. Таня занимается программированием и работает в сфере информационных технологий более 20 лет, в ее послужной список входят такие технологические корпорации, как Microsoft, Adobe и Nokia.
Скачать.
#web
#cybersecurity
Название: «Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков.»
Автор: Таня Янка
Год: 2023
Исчерпывающее руководство по безопасности программного обеспечения.
Поддерживать безопасность своих продуктов — одна из первостепенных задач любой современной IT-компании. В этой книге вы найдете пошаговые инструкции по тому, как спроектировать безопасную архитектуру веб-сайтов и приложений и защищать ее на всех этапах производства и реализации. Более того, автор даст ответы на самые распространенные вопросы об информационной безопасности и расскажет о лучших практиках гигантов технологической индустрии, например, Microsoft и Google.
Для кого эта книга:
• специалисты по информационной безопасности;
• практикующие разработчики программного обеспечения;
• инженеры приложений;
• руководители IT-проектов;
• специалисты по тестированию.
Таня Янка, также известная как SheHacksPurple — основательница сообщества и онлайн-академии We Hack Purple, цель которых — научить разработчиков создавать безопасное программное обеспечение. Таня занимается программированием и работает в сфере информационных технологий более 20 лет, в ее послужной список входят такие технологические корпорации, как Microsoft, Adobe и Nokia.
Скачать.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#books
#web
#hacking
Впечатления от книги Тани Янки «Безопасность web-приложений. Исчерпывающий гид для начинающих разработчиков».
Книга Тани Янки «Безопасность web-приложений. Исчерпывающий гид для начинающих разработчиков» является настоящей находкой для тех, кто стремится освоить основы веб-безопасности и применить их на практике. Это издание станет отличным руководством как для начинающих разработчиков, так и для тех, кто хочет обновить и систематизировать свои знания в этой быстро меняющейся области
Подробнее: https://timcourse.ru/vpechatleniya-ot-knigi-tani-yanki-bezopasnost-web-prilozhenij-ischerpyvayushhij-gid-dlya-nachinayushhih-razrabotchikov/
#web
#hacking
Впечатления от книги Тани Янки «Безопасность web-приложений. Исчерпывающий гид для начинающих разработчиков».
Книга Тани Янки «Безопасность web-приложений. Исчерпывающий гид для начинающих разработчиков» является настоящей находкой для тех, кто стремится освоить основы веб-безопасности и применить их на практике. Это издание станет отличным руководством как для начинающих разработчиков, так и для тех, кто хочет обновить и систематизировать свои знания в этой быстро меняющейся области
Подробнее: https://timcourse.ru/vpechatleniya-ot-knigi-tani-yanki-bezopasnost-web-prilozhenij-ischerpyvayushhij-gid-dlya-nachinayushhih-razrabotchikov/
Авторские курсы Михаила Тарасова
Впечатления от книги Тани Янки «Безопасность web-приложений. Исчерпывающий гид для начинающих разработчиков». — Авторские курсы…
Книга Тани Янки "Безопасность web-приложений. Исчерпывающий гид для начинающих разработчиков" является настоящей находкой для тех, кто стремится освоить основы веб-безопасности и применить их на практике. Это издание станет отличным руководством как для начинающих…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#web
#vulnerability
Анализ уязвимостей: как найти и эксплуатировать уязвимости в веб-приложениях
Здравствуйте, дорогие друзья.
В современном мире веб-приложения играют ключевую роль в повседневной жизни. Они используются для онлайн-покупок, банковских операций, социальных сетей и многого другого. Однако, несмотря на их популярность, веб-приложения часто становятся мишенью для злоумышленников из-за наличия уязвимостей. В этой статье мы рассмотрим, как найти и эксплуатировать уязвимости в веб-приложениях, а также приведем примеры кода для иллюстрации.
Подробнее: https://timcourse.ru/analiz-uyazvimostej-kak-najti-i-ekspluatirovat-uyazvimosti-v-veb-prilozheniyah/
#vulnerability
Анализ уязвимостей: как найти и эксплуатировать уязвимости в веб-приложениях
Здравствуйте, дорогие друзья.
В современном мире веб-приложения играют ключевую роль в повседневной жизни. Они используются для онлайн-покупок, банковских операций, социальных сетей и многого другого. Однако, несмотря на их популярность, веб-приложения часто становятся мишенью для злоумышленников из-за наличия уязвимостей. В этой статье мы рассмотрим, как найти и эксплуатировать уязвимости в веб-приложениях, а также приведем примеры кода для иллюстрации.
Подробнее: https://timcourse.ru/analiz-uyazvimostej-kak-najti-i-ekspluatirovat-uyazvimosti-v-veb-prilozheniyah/
Авторские курсы Михаила Тарасова
Анализ уязвимостей: как найти и эксплуатировать уязвимости в веб-приложениях — Авторские курсы Михаила Тарасова
В современном мире веб-приложения играют ключевую роль в повседневной жизни. Они используются для онлайн-покупок, банковских операций, социальных сетей и многого другого. Однако, несмотря на их популярность, веб-приложения часто становятся мишенью для злоумышленников…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#books
#web
Электронная книга: «Защита от основных уязвимостей в вебе»
🌐🔒 Здравствуйте, дорогие друзья! 🔒🌐
Я рад объявить, что после многих лет работы и накопленного опыта, наконец-то готов представить Вам свою новую электронную книгу: «Защита от основных уязвимостей в вебе»! 📚
В этой книге я поделился своими знаниями и опытом, накопленными за более чем 8 лет работы в области этичного хакинга. Вы узнаете о самых распространенных уязвимостях веб-приложений и методах их защиты. Книга будет полезна как начинающим специалистам, так и опытным профессионалам, стремящимся углубить свои знания в области кибербезопасности.
Цена 1500 рублей.
Объем: 450 страниц.
В книгу обязательно включаю как вопросы для самопроверки, так и практические задания. Считаю, что без этих компонентов, любая образовательная техническая книга не имеет смысла.
Также в книге будет очень много примеров кода, на таких языках, как Java, JavaScript, SQL, PHP, Python, Bash. А также других технологий,
например язык гипертекстовой разметки: HTML, CSS и т.д.
Всего вопросов для самопроверки: 76.
Всего практических заданий: 270.
Содержание:
1. Введение
1.1 Цели и задачи книги
1.2 Аудитория и предпосылки
1.3 Обзор современных угроз в вебе
2. Основы веб-безопасности
2.1 Принципы безопасности информации
2.2 Модели угроз и рисков
2.3 Основные концепции веб-архитектуры
3. Уязвимости и их классификация
3.1 OWASP Top Ten: обзор и значение
3.2 Другие распространенные уязвимости
3.3 Методы обнаружения уязвимостей
4. SQL-инъекции
4.1 Природа и примеры SQL-инъекций
4.2 Методы защиты и предотвращения
4.3 Практические примеры и кейсы
5. Межсайтовый скриптинг (XSS)
5.1 Типы XSS-атак
5.2 Влияние на пользователей и данные
5.3 Защита и лучшие практики
6. Межсайтовая подделка запроса (CSRF)
6.1 Механизм и примеры атак
6.2 Методы защиты
6.3 Инструменты для тестирования
7. Уязвимости в аутентификации и управлении сессиями
7.1 Проблемы с паролями и сессиями
7.2 Двухфакторная аутентификация
7.3 Управление сессиями и защита
8. Безопасность API и микросервисов
8.1 Угрозы для API
8.2 Аутентификация и авторизация в API
8.3 Практики безопасного дизайна API
9. Безопасность конфигурации и развертывания
9.1 Ошибки конфигурации
9.2 Безопасное развертывание приложений
9.3 Автоматизация и инструменты CI/CD
10. Защита данных и шифрование
10.1 Основы шифрования данных
10.2 Защита данных в транзите и на хранении
10.3 Управление ключами и сертификатами
11. Мониторинг и реагирование на инциденты
11.1 Настройка систем мониторинга
11.2 Реагирование на инциденты безопасности
11.3 Пост-инцидентный анализ и улучшение
12. Будущее веб-безопасности
12.1 Новые угрозы и технологии
12.2 Роль искусственного интеллекта в безопасности
12.3 Подготовка к будущим вызовам
13. Заключение
13.1 Итоги и ключевые выводы
13.2 Рекомендации для дальнейшего изучения
13.3 Важность постоянного обучения и адаптации
Приобрести книгу: https://timcourse.ru/courses/elektronnaya-kniga-zashita-ot-osnovnyh-uyazvimostej-v-vebe/
#web
Электронная книга: «Защита от основных уязвимостей в вебе»
🌐🔒 Здравствуйте, дорогие друзья! 🔒🌐
Я рад объявить, что после многих лет работы и накопленного опыта, наконец-то готов представить Вам свою новую электронную книгу: «Защита от основных уязвимостей в вебе»! 📚
В этой книге я поделился своими знаниями и опытом, накопленными за более чем 8 лет работы в области этичного хакинга. Вы узнаете о самых распространенных уязвимостях веб-приложений и методах их защиты. Книга будет полезна как начинающим специалистам, так и опытным профессионалам, стремящимся углубить свои знания в области кибербезопасности.
Цена 1500 рублей.
Объем: 450 страниц.
В книгу обязательно включаю как вопросы для самопроверки, так и практические задания. Считаю, что без этих компонентов, любая образовательная техническая книга не имеет смысла.
Также в книге будет очень много примеров кода, на таких языках, как Java, JavaScript, SQL, PHP, Python, Bash. А также других технологий,
например язык гипертекстовой разметки: HTML, CSS и т.д.
Всего вопросов для самопроверки: 76.
Всего практических заданий: 270.
Содержание:
1. Введение
1.1 Цели и задачи книги
1.2 Аудитория и предпосылки
1.3 Обзор современных угроз в вебе
2. Основы веб-безопасности
2.1 Принципы безопасности информации
2.2 Модели угроз и рисков
2.3 Основные концепции веб-архитектуры
3. Уязвимости и их классификация
3.1 OWASP Top Ten: обзор и значение
3.2 Другие распространенные уязвимости
3.3 Методы обнаружения уязвимостей
4. SQL-инъекции
4.1 Природа и примеры SQL-инъекций
4.2 Методы защиты и предотвращения
4.3 Практические примеры и кейсы
5. Межсайтовый скриптинг (XSS)
5.1 Типы XSS-атак
5.2 Влияние на пользователей и данные
5.3 Защита и лучшие практики
6. Межсайтовая подделка запроса (CSRF)
6.1 Механизм и примеры атак
6.2 Методы защиты
6.3 Инструменты для тестирования
7. Уязвимости в аутентификации и управлении сессиями
7.1 Проблемы с паролями и сессиями
7.2 Двухфакторная аутентификация
7.3 Управление сессиями и защита
8. Безопасность API и микросервисов
8.1 Угрозы для API
8.2 Аутентификация и авторизация в API
8.3 Практики безопасного дизайна API
9. Безопасность конфигурации и развертывания
9.1 Ошибки конфигурации
9.2 Безопасное развертывание приложений
9.3 Автоматизация и инструменты CI/CD
10. Защита данных и шифрование
10.1 Основы шифрования данных
10.2 Защита данных в транзите и на хранении
10.3 Управление ключами и сертификатами
11. Мониторинг и реагирование на инциденты
11.1 Настройка систем мониторинга
11.2 Реагирование на инциденты безопасности
11.3 Пост-инцидентный анализ и улучшение
12. Будущее веб-безопасности
12.1 Новые угрозы и технологии
12.2 Роль искусственного интеллекта в безопасности
12.3 Подготовка к будущим вызовам
13. Заключение
13.1 Итоги и ключевые выводы
13.2 Рекомендации для дальнейшего изучения
13.3 Важность постоянного обучения и адаптации
Приобрести книгу: https://timcourse.ru/courses/elektronnaya-kniga-zashita-ot-osnovnyh-uyazvimostej-v-vebe/
Авторские курсы Михаила Тарасова
Электронная книга: «Защита от основных уязвимостей в вебе» — Авторские курсы Михаила Тарасова
🌐🔒 Здравствуйте, дорогие друзья! 🔒🌐 Я рад объявить, что после многих лет работы и накопленного опыта, наконец-то готов представить Вам свою новую электронную книгу: «Защита от основных уязвимостей в вебе»! 📚 В этой книге я поделился своими знаниями и опытом…
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#web
#exploit
#python
Web Cache Poisoning: Отравляем Кэш для DoS и Кражи Данных
Йо, эксплойтер! Если ты любишь играть с вебом на уровне, где один хитрый заголовок может сломать весь сайт, то Web Cache Poisoning — твой новый фаворит. Это техника, когда ты отравляешь кэш сервера (CDN, прокси или веб-сервера), подменяя контент для всех пользователей. Представь: ты внедряешь вредоносный JS в кэшированную страницу, и каждый посетитель получает твой код — идеально для DoS (заливка мусором) или кражи данных (куки, формы). Сегодня мы разберём, как манипулировать HTTP-заголовками, настроим тестовое окружение на Nginx и запустим PoC для внедрения злого скрипта. Всё с кодом, шагами и лайфхаками — держись, будет жарко! 🔥
Подробнее: https://timrobot.ru/web-cache-poisoning-otravlyaem-kesh-dlya-dos-i-krazhi-dannyh/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#exploit
#python
Web Cache Poisoning: Отравляем Кэш для DoS и Кражи Данных
Йо, эксплойтер! Если ты любишь играть с вебом на уровне, где один хитрый заголовок может сломать весь сайт, то Web Cache Poisoning — твой новый фаворит. Это техника, когда ты отравляешь кэш сервера (CDN, прокси или веб-сервера), подменяя контент для всех пользователей. Представь: ты внедряешь вредоносный JS в кэшированную страницу, и каждый посетитель получает твой код — идеально для DoS (заливка мусором) или кражи данных (куки, формы). Сегодня мы разберём, как манипулировать HTTP-заголовками, настроим тестовое окружение на Nginx и запустим PoC для внедрения злого скрипта. Всё с кодом, шагами и лайфхаками — держись, будет жарко! 🔥
Подробнее: https://timrobot.ru/web-cache-poisoning-otravlyaem-kesh-dlya-dos-i-krazhi-dannyh/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
Web Cache Poisoning: Отравляем Кэш для DoS и Кражи Данных - Разработка роботов и эксплойтов
Йо, эксплойтер! Если ты любишь играть с вебом на уровне, где один хитрый заголовок может сломать весь сайт, то Web Cache Poisoning — твой новый фаворит. Это техника, когда ты отравляешь кэш сервера (CDN, прокси или веб-сервера), подменяя контент для всех…
🔐 Дневник Хакера | 10.10.2025
Сегодняшний день был продуктивным — провёл углублённое тестирование на защищённость в рамках bug bounty программы.
🎯 Цель: Федеральная система (детали под NDA)
⏱ Время: 6 часов чистой работы
🔧 Инструменты: ffuf, curl, Burp Suite, custom scripts
📈 Процесс:
1️⃣ Разведка: сканирование субдоменов, endpoints, технологий
2️⃣ Анализ: изучение архитектуры, поиск точек входа
3️⃣ Тестирование: проверка различных векторов атак
4️⃣ Эксплуатация: подтверждение найденных уязвимостей
5️⃣ Документирование: написание профессионального отчёта
🎯 Статистика:
• HTTP-запросов: 1,000+
• Endpoints протестировано: 50+
• Данных собрано: 40 MB
• Файлов создано: 91
• Уязвимостей найдено: 3 (1 Critical, 2 Medium)
💡 Что было интересного:
Нашёл нестандартный способ обхода защиты, который позволил получить доступ к защищённым ресурсам. Классический пример того, как whitelist'ы без должной валидации могут стать уязвимостью.
📝 Отправил отчёт в Standoff365, жду триажа.
💰 Потенциальная выплата: до 150,000₽
Детали опубликую после разрешения программы и исправления уязвимости владельцем.
Совет дня: Всегда проверяйте не только "что блокируется", но и "что пропускается". Иногда whitelist опаснее blacklist'а.
#bugbounty #pentesting #cybersecurity #ethical_hacking #infosec #web_security #ДневникХакера
Сегодняшний день был продуктивным — провёл углублённое тестирование на защищённость в рамках bug bounty программы.
🎯 Цель: Федеральная система (детали под NDA)
⏱ Время: 6 часов чистой работы
🔧 Инструменты: ffuf, curl, Burp Suite, custom scripts
📈 Процесс:
1️⃣ Разведка: сканирование субдоменов, endpoints, технологий
2️⃣ Анализ: изучение архитектуры, поиск точек входа
3️⃣ Тестирование: проверка различных векторов атак
4️⃣ Эксплуатация: подтверждение найденных уязвимостей
5️⃣ Документирование: написание профессионального отчёта
🎯 Статистика:
• HTTP-запросов: 1,000+
• Endpoints протестировано: 50+
• Данных собрано: 40 MB
• Файлов создано: 91
• Уязвимостей найдено: 3 (1 Critical, 2 Medium)
💡 Что было интересного:
Нашёл нестандартный способ обхода защиты, который позволил получить доступ к защищённым ресурсам. Классический пример того, как whitelist'ы без должной валидации могут стать уязвимостью.
📝 Отправил отчёт в Standoff365, жду триажа.
💰 Потенциальная выплата: до 150,000₽
Детали опубликую после разрешения программы и исправления уязвимости владельцем.
Совет дня: Всегда проверяйте не только "что блокируется", но и "что пропускается". Иногда whitelist опаснее blacklist'а.
#bugbounty #pentesting #cybersecurity #ethical_hacking #infosec #web_security #ДневникХакера