#video
#hacking
#ethical_hacking
#14 Введение в Этичный хакинг: Объяснение уязвимости — Missing Function Level Access Control, и защита от нее
Уязвимость «Missing Function Level Access Control» (Отсутствие контроля доступа на уровне функций) возникает, когда приложение не проверяет, имеет ли пользователь право выполнять определенные функции или действия. Это может позволить неавторизованным пользователям получить доступ к функциям, которые должны быть доступны только определенным группам пользователей, таким как администраторы или модераторы.
Ссылка на видеоролик: https://rutube.ru/video/a7aa1ea58893a51ba2096ba73ee59b12/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#hacking
#ethical_hacking
#14 Введение в Этичный хакинг: Объяснение уязвимости — Missing Function Level Access Control, и защита от нее
Уязвимость «Missing Function Level Access Control» (Отсутствие контроля доступа на уровне функций) возникает, когда приложение не проверяет, имеет ли пользователь право выполнять определенные функции или действия. Это может позволить неавторизованным пользователям получить доступ к функциям, которые должны быть доступны только определенным группам пользователей, таким как администраторы или модераторы.
Ссылка на видеоролик: https://rutube.ru/video/a7aa1ea58893a51ba2096ba73ee59b12/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
RUTUBE
#14 Введение в Этичный хакинг: Объяснение уязвимости — Missing Function Level Access Control
Уязвимость «Missing Function Level Access Control» (Отсутствие контроля доступа на уровне функций) возникает, когда приложение не проверяет, имеет ли пользователь право выполнять определенные функции или действия. Это может позволить неавторизованным пользователям…
Здравствуйте, дорогие друзья!!!
Внимание! Акция!!!
Продлится 3 дня, с 25-го по 27-е июня включительно, а именно скидка 30% на мою электронную книгу-сборник «Хакер-программист»! 📚
Если Вы интересуетесь этичным хакингом и программированием, то эта книга станет для Вас настоящим кладезем знаний. Внутри Вы найдете 17 подробных разделов, которые охватывают все аспекты этой увлекательной и важной темы:
1. Заработок для хакера
https://vk.com/market/product/elektronnaya-kniga-zarabotok-dlya-khakera-44038255-9584632
2. Основы хакинга
https://vk.com/market/product/elektronnaya-kniga-osnovy-khakinga-44038255-9237103
3. Kali Linux для начинающих
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-nachinayuschikh-bazovy-uroven-44038255-4996935
4. Программирование на Go для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-go-dlya-nachinayuschikh-44038255-9562398
5. Программирование на Ассемблере для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-assemblere-dlya-nachinayuschikh-44038255-9664238
6. Хакинг на JavaScript
https://vk.com/market/product/elektronnaya-kniga-khaking-na-javascript-44038255-9092464
7. Хакинг на Ruby
https://vk.com/market/product/elektronnaya-kniga-khaking-na-ruby-44038255-9553339
8. Хакерские инструменты на PHP8
https://vk.com/market/product/elektronnaya-kniga-khakerskie-instrumenty-na-php8-44038255-9060882
9. Хакинг bWAPP - buggy web application. Эксплуатация 100 уязвимостей
https://vk.com/market/product/elektronnaya-kniga-khaking-bwapp-buggy-web-application-expluatatsia-100-uyazvimostey-44038255-8337216
10. Хакинг DVWA. Полное прохождение
https://vk.com/market/product/kniga-uyazvimosti-dvwa-polnoe-prokhozhdenie-mikhail-tarasov-timcore-44038255-7367979
11. Уязвимость SQL инъекция. Практическое руководство для хакеров
https://vk.com/market/product/kniga-uyazvimost-sql-inektsia-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8556247
12. Уязвимость Cross-Site Scripting XSS. Практическое руководство
https://vk.com/market/product/kniga-uyazvimost-cross-site-scripting-xss-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8411529
13. Пост-эксплуатация веб-сервера
https://vk.com/market/product/kniga-post-expluatatsia-veb-servera-44038255-8442259
14. Cross Site Request Forgery (CSRF)
https://vk.com/market/product/elektronnaya-kniga-uyazvimost-csrf-44038255-9345816
15. Прохождение CTF. Мистер Робот. Практический курс
https://vk.com/market/product/elektronnaya-kniga-mr-robot-1-ctf-walkthrough-reshenie-zadania-ctf-prakticheskoe-posobie-dlya-khaker-44038255-9357732
16. CTF. VulnHub - 8 райтапов
https://vk.com/market/product/elektronnaya-kniga-capture-the-flag-ctf-vulnhub-8-raytapov-44038255-9267197
17. Kali Linux для продвинутого тестирования на проникновение
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-prodvinutogo-testirovania-na-proniknovenie-44038255-8574265
Объем книги – 4074 страницы, наполненные полезной информацией и практическими примерами. Стоимость книги составляет 3500 рублей.
🔗 Заказать книгу можно, написав по контакту: @timcore1
Не упустите возможность стать настоящим профессионалом в области этичного хакинга и программирования! 💻🔒
Внимание! Акция!!!
Продлится 3 дня, с 25-го по 27-е июня включительно, а именно скидка 30% на мою электронную книгу-сборник «Хакер-программист»! 📚
Если Вы интересуетесь этичным хакингом и программированием, то эта книга станет для Вас настоящим кладезем знаний. Внутри Вы найдете 17 подробных разделов, которые охватывают все аспекты этой увлекательной и важной темы:
1. Заработок для хакера
https://vk.com/market/product/elektronnaya-kniga-zarabotok-dlya-khakera-44038255-9584632
2. Основы хакинга
https://vk.com/market/product/elektronnaya-kniga-osnovy-khakinga-44038255-9237103
3. Kali Linux для начинающих
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-nachinayuschikh-bazovy-uroven-44038255-4996935
4. Программирование на Go для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-go-dlya-nachinayuschikh-44038255-9562398
5. Программирование на Ассемблере для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-assemblere-dlya-nachinayuschikh-44038255-9664238
6. Хакинг на JavaScript
https://vk.com/market/product/elektronnaya-kniga-khaking-na-javascript-44038255-9092464
7. Хакинг на Ruby
https://vk.com/market/product/elektronnaya-kniga-khaking-na-ruby-44038255-9553339
8. Хакерские инструменты на PHP8
https://vk.com/market/product/elektronnaya-kniga-khakerskie-instrumenty-na-php8-44038255-9060882
9. Хакинг bWAPP - buggy web application. Эксплуатация 100 уязвимостей
https://vk.com/market/product/elektronnaya-kniga-khaking-bwapp-buggy-web-application-expluatatsia-100-uyazvimostey-44038255-8337216
10. Хакинг DVWA. Полное прохождение
https://vk.com/market/product/kniga-uyazvimosti-dvwa-polnoe-prokhozhdenie-mikhail-tarasov-timcore-44038255-7367979
11. Уязвимость SQL инъекция. Практическое руководство для хакеров
https://vk.com/market/product/kniga-uyazvimost-sql-inektsia-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8556247
12. Уязвимость Cross-Site Scripting XSS. Практическое руководство
https://vk.com/market/product/kniga-uyazvimost-cross-site-scripting-xss-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8411529
13. Пост-эксплуатация веб-сервера
https://vk.com/market/product/kniga-post-expluatatsia-veb-servera-44038255-8442259
14. Cross Site Request Forgery (CSRF)
https://vk.com/market/product/elektronnaya-kniga-uyazvimost-csrf-44038255-9345816
15. Прохождение CTF. Мистер Робот. Практический курс
https://vk.com/market/product/elektronnaya-kniga-mr-robot-1-ctf-walkthrough-reshenie-zadania-ctf-prakticheskoe-posobie-dlya-khaker-44038255-9357732
16. CTF. VulnHub - 8 райтапов
https://vk.com/market/product/elektronnaya-kniga-capture-the-flag-ctf-vulnhub-8-raytapov-44038255-9267197
17. Kali Linux для продвинутого тестирования на проникновение
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-prodvinutogo-testirovania-na-proniknovenie-44038255-8574265
Объем книги – 4074 страницы, наполненные полезной информацией и практическими примерами. Стоимость книги составляет 3500 рублей.
🔗 Заказать книгу можно, написав по контакту: @timcore1
Не упустите возможность стать настоящим профессионалом в области этичного хакинга и программирования! 💻🔒
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#phishing
#mitm
Фишинг 2.0: Клонируем сайты с подменой контента через MitM
Эй, хакеры и любители острых ощущений в мире киберпанка! Сегодня мы погружаемся в мутные воды фишинга нового уровня. Забудьте про примитивные страницы с формой логина, которые кричат “я фейк” с первого взгляда. Мы поговорим про клонирование сайтов с подменой контента “на лету” через атаку Man-in-the-Middle (MitM). И да, я дам тебе готовый скрипт на Python с использованием BeautifulSoup, чтобы ты мог сам попробовать этот трюк. Только помни: это для образовательных целей, используй на свой страх и риск!
Подробнее: https://timrobot.ru/fishing-2-0-kloniruem-sajty-s-podmenoj-kontenta-cherez-mitm/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#mitm
Фишинг 2.0: Клонируем сайты с подменой контента через MitM
Эй, хакеры и любители острых ощущений в мире киберпанка! Сегодня мы погружаемся в мутные воды фишинга нового уровня. Забудьте про примитивные страницы с формой логина, которые кричат “я фейк” с первого взгляда. Мы поговорим про клонирование сайтов с подменой контента “на лету” через атаку Man-in-the-Middle (MitM). И да, я дам тебе готовый скрипт на Python с использованием BeautifulSoup, чтобы ты мог сам попробовать этот трюк. Только помни: это для образовательных целей, используй на свой страх и риск!
Подробнее: https://timrobot.ru/fishing-2-0-kloniruem-sajty-s-podmenoj-kontenta-cherez-mitm/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
Фишинг 2.0: Клонируем сайты с подменой контента через MitM - Разработка роботов и эксплойтов
Эй, хакеры и любители острых ощущений в мире киберпанка! Сегодня мы погружаемся в мутные воды фишинга нового уровня. Забудьте про примитивные страницы с формой логина, которые кричат "я фейк" с первого взгляда. Мы поговорим про клонирование сайтов с подменой…
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#bruteforce
#python
Брутфорс через CAPTCHA-сервисы: Как использовать чужие ресурсы
Привет, кибер-волки и мастера автоматизации! Сегодня мы говорим о брутфорсе нового уровня — обходим CAPTCHA, используя сторонние сервисы вроде 2Captcha или Anti-Captcha. Это не просто “взлом для ленивых”, это способ переложить рутину на чужие плечи, пока твой скрипт делает грязную работу. Я покажу, как настроить автоматизацию через API этих сервисов, дам рабочий код на Python и поделюсь лайфхаками, чтобы выжать максимум из этого подхода. Всё с хардкорным подходом и без лишней воды. Поехали! 💥
Подробнее: https://timrobot.ru/brutfors-cherez-captcha-servisy-kak-ispolzovat-chuzhie-resursy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#python
Брутфорс через CAPTCHA-сервисы: Как использовать чужие ресурсы
Привет, кибер-волки и мастера автоматизации! Сегодня мы говорим о брутфорсе нового уровня — обходим CAPTCHA, используя сторонние сервисы вроде 2Captcha или Anti-Captcha. Это не просто “взлом для ленивых”, это способ переложить рутину на чужие плечи, пока твой скрипт делает грязную работу. Я покажу, как настроить автоматизацию через API этих сервисов, дам рабочий код на Python и поделюсь лайфхаками, чтобы выжать максимум из этого подхода. Всё с хардкорным подходом и без лишней воды. Поехали! 💥
Подробнее: https://timrobot.ru/brutfors-cherez-captcha-servisy-kak-ispolzovat-chuzhie-resursy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
Брутфорс через CAPTCHA-сервисы: Как использовать чужие ресурсы - Разработка роботов и эксплойтов
Привет, кибер-волки и мастера автоматизации! Сегодня мы говорим о брутфорсе нового уровня — обходим CAPTCHA, используя сторонние сервисы вроде 2Captcha или Anti-Captcha. Это не просто "взлом для ленивых", это способ переложить рутину на чужие плечи, пока…
#ai
#deepseek
Как я DeepSeek ломал
Эй, народ, если вы думаете, что современные ИИ — это крепости, то я вас расстрою. DeepSeek, этот китайский зверь, вроде как умный, но с дырами, как решето у деда на даче. Пару недель назад решил его потрепать, и вот тебе мой отчет с передовой. Готовь Burp Suite, качай кофе и врубай режим «без сна». Ломаем DeepSeek по-взрослому.
Подробнее: https://timneuro.ru/kak-ya-deepseek-lomal/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#deepseek
Как я DeepSeek ломал
Эй, народ, если вы думаете, что современные ИИ — это крепости, то я вас расстрою. DeepSeek, этот китайский зверь, вроде как умный, но с дырами, как решето у деда на даче. Пару недель назад решил его потрепать, и вот тебе мой отчет с передовой. Готовь Burp Suite, качай кофе и врубай режим «без сна». Ломаем DeepSeek по-взрослому.
Подробнее: https://timneuro.ru/kak-ya-deepseek-lomal/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Нейро Мастер
Как я DeepSeek ломал — Нейро Мастер
Главная / Блог / Как я DeepSeek ломал Как я DeepSeek ломал 25.06.2025 Эй, народ, если вы думаете, что современные ИИ — это крепости, то я вас расстр
#ai
#chat_gpt
Как я ChatGPT на излом брал: Unicode-трюки и фильтры в клочья
Эй, хакерский движ, если ты думал, что фильтры ChatGPT — это железобетон, то вот тебе новость: они рвутся, как бумага, если знать, куда бить. Сегодня я покажу, как ломать их через Unicode-спойлинг и контекстные подмены. Всё протестировано на версии 4.0, но и на 3.5 работает с минимальными правками. Готовь Burp Suite для ИИ, врубай Wireshark для души и погнали!
Подробнее: https://timneuro.ru/kak-ya-chatgpt-na-izlom-bral-unicode-tryuki-i-filtry-v-klochya/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#chat_gpt
Как я ChatGPT на излом брал: Unicode-трюки и фильтры в клочья
Эй, хакерский движ, если ты думал, что фильтры ChatGPT — это железобетон, то вот тебе новость: они рвутся, как бумага, если знать, куда бить. Сегодня я покажу, как ломать их через Unicode-спойлинг и контекстные подмены. Всё протестировано на версии 4.0, но и на 3.5 работает с минимальными правками. Готовь Burp Suite для ИИ, врубай Wireshark для души и погнали!
Подробнее: https://timneuro.ru/kak-ya-chatgpt-na-izlom-bral-unicode-tryuki-i-filtry-v-klochya/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Нейро Мастер
Как я ChatGPT на излом брал: Unicode-трюки и фильтры в клочья — Нейро Мастер
Главная / Блог / Как я ChatGPT на излом брал: Unicode-трюки и фильтры в клочья Как я ChatGPT на излом брал: Unicode-трюки и фильтры в клочья 25.06.2
#ai
100 нейросетей для ЛЮБЫХ задач.
Ловите шпаргалку с проверенными инструментами — тексты, кодинг, презентации, продуктивность, дизайн, анализ данных и многое другое.
100 нейросетей для ЛЮБЫХ задач.
Ловите шпаргалку с проверенными инструментами — тексты, кодинг, презентации, продуктивность, дизайн, анализ данных и многое другое.
#forensics
Социальная инженерия для чайников: как тебя разводят на данные, даже не взламывая
Привет, дорогие мои цифровые наивняки! Сегодня я расскажу вам, как вас могут обчистить до нитки, даже не прикасаясь к вашему компу. Забудьте про хакерские штучки, сложный код и трояны. Самый простой способ достать вашу инфу — это вы сами. Да-да, вы, сидящие с чашкой кофе, сейчас главный инструмент в руках мошенников. Это называется социальная инженерия, и поверьте, это куда страшнее, чем любой вирус. Погнали разбираться, как вас разводят, с реальными примерами и советами, чтобы не стать лохом.
Подробнее: https://timforensics.ru/soczialnaya-inzheneriya-dlya-chajnikov-kak-tebya-razvodyat-na-dannye-dazhe-ne-vzlamyvaya/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Социальная инженерия для чайников: как тебя разводят на данные, даже не взламывая
Привет, дорогие мои цифровые наивняки! Сегодня я расскажу вам, как вас могут обчистить до нитки, даже не прикасаясь к вашему компу. Забудьте про хакерские штучки, сложный код и трояны. Самый простой способ достать вашу инфу — это вы сами. Да-да, вы, сидящие с чашкой кофе, сейчас главный инструмент в руках мошенников. Это называется социальная инженерия, и поверьте, это куда страшнее, чем любой вирус. Погнали разбираться, как вас разводят, с реальными примерами и советами, чтобы не стать лохом.
Подробнее: https://timforensics.ru/soczialnaya-inzheneriya-dlya-chajnikov-kak-tebya-razvodyat-na-dannye-dazhe-ne-vzlamyvaya/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Социальная инженерия для чайников: как тебя разводят на данные, даже не взламывая | Форензика
Привет, дорогие мои цифровые наивняки! Сегодня я расскажу вам, как вас могут обчистить до нитки, даже не прикасаясь к вашему компу. Забудьте про хакерские
#forensics
Криптовалюты под микроскопом: как отслеживают транзакции в «анонимном» блокчейне
Эй, любители цифрового золота и анонимных сделок! Вы, наверное, думаете, что биткоин и прочие криптовалюты — это тёмный лес, где никто и никогда не найдёт ваши транзакции? Ха-ха, наивные! Я сейчас разложу по полочкам, как даже в этом якобы «невидимом» блокчейне можно найти всё, что угодно. Мы поговорим про OSINT, блокчейн-аналитику и то, как даже миксеры не спасут ваши монетки от любопытных глаз. Это для общего развития, конечно, а не для того, чтобы вы побежали проверять кошелёк соседа. Погнали!
Подробнее: https://timforensics.ru/kriptovalyuty-pod-mikroskopom-kak-otslezhivayut-tranzakczii-v-anonimnom-blokchejne/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Криптовалюты под микроскопом: как отслеживают транзакции в «анонимном» блокчейне
Эй, любители цифрового золота и анонимных сделок! Вы, наверное, думаете, что биткоин и прочие криптовалюты — это тёмный лес, где никто и никогда не найдёт ваши транзакции? Ха-ха, наивные! Я сейчас разложу по полочкам, как даже в этом якобы «невидимом» блокчейне можно найти всё, что угодно. Мы поговорим про OSINT, блокчейн-аналитику и то, как даже миксеры не спасут ваши монетки от любопытных глаз. Это для общего развития, конечно, а не для того, чтобы вы побежали проверять кошелёк соседа. Погнали!
Подробнее: https://timforensics.ru/kriptovalyuty-pod-mikroskopom-kak-otslezhivayut-tranzakczii-v-anonimnom-blokchejne/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Криптовалюты под микроскопом: как отслеживают транзакции в «анонимном» блокчейне | Форензика
Эй, любители цифрового золота и анонимных сделок! Вы, наверное, думаете, что биткоин и прочие криптовалюты — это тёмный лес, где никто и никогда не найдёт
Как Xbow смог обойти человеческих хакеров и занять первое место в рейтинге HackerOne
Стартап Xbow, основанный в январе 2024 года Оэге де Муром, бывшим руководителем GitHub Copilot, смог обойти человеческих хакеров и занять первое место в рейтинге HackerOne в США благодаря своей инновационной AI-платформе для автономного тестирования на проникновение.
Вот ключевые факторы, которые обеспечили этот успех:
Технологические преимущества Xbow
Скорость и масштабируемость: Xbow способен проводить комплексные тесты на проникновение за считанные часы, в то время как традиционные методы с участием человека занимают недели и стоят в среднем $18,000 за систему. Например, в одном из тестов Xbow выполнил работу, эквивалентную 40 часам труда опытного пентестера с 20-летним стажем, всего за 28 минут.
Автономность и адаптивность: Платформа работает без человеческого вмешательства, автоматически обнаруживая и эксплуатируя уязвимости. В отличие от традиционных инструментов, зависящих от статических баз данных, Xbow постоянно обучается и адаптируется, выявляя даже новые, ранее неизвестные уязвимости, анализируя поведение приложений на конкретные входные данные.
Точность и валидация: Одной из проблем автоматизации является большое количество ложных срабатываний, но Xbow решает это с помощью системы валидаторов — автоматизированных проверок, подтверждающих каждую найденную уязвимость. Например, для проверки XSS-уязвимостей используется headless-браузер, который подтверждает выполнение вредоносного JavaScript-кода.
Результаты в реальных условиях
Xbow тестировался в публичных и частных программах bug bounty на HackerOne, где он выявил тысячи подтверждённых уязвимостей, включая такие серьёзные, как удалённое выполнение кода, SQL-инъекции, XSS, SSRF и раскрытие конфиденциальной информации. За период с апреля по июнь 2025 года Xbow подал около 1060 отчётов об уязвимостях, из которых 130 были устранены, а 303 помечены как “Triaged”. Это позволило ему достичь первого места в американском рейтинге HackerOne по репутации, что стало историческим событием — впервые машина обошла всех человеческих хакеров в этой категории.
Стратегия и подход
Xbow изначально не ставил целью лидерство в рейтинге, но участие в реальных программах bug bounty стало важным этапом для оценки эффективности платформы. Компания использовала строгие бенчмарки для измерения прогресса, а также применяла подход “dogfooding”, тестируя инструмент в условиях, максимально приближенных к реальным, без каких-либо привилегий или внутренней информации. Это позволило Xbow справляться с разнообразием систем — от современных технологий до устаревших решений возрастом 30 лет.
Таким образом, сочетание скорости, автономности, точности и способности адаптироваться к сложным реальным средам позволило Xbow превзойти человеческих хакеров и занять лидирующую позицию в рейтинге HackerOne в США.
Стартап Xbow, основанный в январе 2024 года Оэге де Муром, бывшим руководителем GitHub Copilot, смог обойти человеческих хакеров и занять первое место в рейтинге HackerOne в США благодаря своей инновационной AI-платформе для автономного тестирования на проникновение.
Вот ключевые факторы, которые обеспечили этот успех:
Технологические преимущества Xbow
Скорость и масштабируемость: Xbow способен проводить комплексные тесты на проникновение за считанные часы, в то время как традиционные методы с участием человека занимают недели и стоят в среднем $18,000 за систему. Например, в одном из тестов Xbow выполнил работу, эквивалентную 40 часам труда опытного пентестера с 20-летним стажем, всего за 28 минут.
Автономность и адаптивность: Платформа работает без человеческого вмешательства, автоматически обнаруживая и эксплуатируя уязвимости. В отличие от традиционных инструментов, зависящих от статических баз данных, Xbow постоянно обучается и адаптируется, выявляя даже новые, ранее неизвестные уязвимости, анализируя поведение приложений на конкретные входные данные.
Точность и валидация: Одной из проблем автоматизации является большое количество ложных срабатываний, но Xbow решает это с помощью системы валидаторов — автоматизированных проверок, подтверждающих каждую найденную уязвимость. Например, для проверки XSS-уязвимостей используется headless-браузер, который подтверждает выполнение вредоносного JavaScript-кода.
Результаты в реальных условиях
Xbow тестировался в публичных и частных программах bug bounty на HackerOne, где он выявил тысячи подтверждённых уязвимостей, включая такие серьёзные, как удалённое выполнение кода, SQL-инъекции, XSS, SSRF и раскрытие конфиденциальной информации. За период с апреля по июнь 2025 года Xbow подал около 1060 отчётов об уязвимостях, из которых 130 были устранены, а 303 помечены как “Triaged”. Это позволило ему достичь первого места в американском рейтинге HackerOne по репутации, что стало историческим событием — впервые машина обошла всех человеческих хакеров в этой категории.
Стратегия и подход
Xbow изначально не ставил целью лидерство в рейтинге, но участие в реальных программах bug bounty стало важным этапом для оценки эффективности платформы. Компания использовала строгие бенчмарки для измерения прогресса, а также применяла подход “dogfooding”, тестируя инструмент в условиях, максимально приближенных к реальным, без каких-либо привилегий или внутренней информации. Это позволило Xbow справляться с разнообразием систем — от современных технологий до устаревших решений возрастом 30 лет.
Таким образом, сочетание скорости, автономности, точности и способности адаптироваться к сложным реальным средам позволило Xbow превзойти человеческих хакеров и занять лидирующую позицию в рейтинге HackerOne в США.
#ai
#claude
Claude в подвале: ломаем Anthropic через псевдо-SQL и LaTeX
Сразу бросилось в глаза, что Claude не особо фильтрует псевдо-код и специфические форматы данных, типа LaTeX или SQL-подобных строк. Особенно если закинуть что-то, что выглядит как «безопасный» технический запрос, но с подвохом. Модель пытается интерпретировать это как «часть задачи», а не как инъекцию. Плюс, слабая обработка Unicode и многоуровневых контекстов — прям лазейка для обхода. Вижу, что их токенизация спотыкается на длинных вложенных структурах, а это значит, что можно перегрузить контекст и заставить модель выдать то, что она не должна. Ну и, конечно, LaTeX — их ахиллесова пята, потому что парсинг формул часто ломается, и модель начинает «думать», что это часть ответа.
Подробнее: https://timneuro.ru/claude-v-podvale-lomaem-anthropic-cherez-psevdo-sql-i-latex/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#claude
Claude в подвале: ломаем Anthropic через псевдо-SQL и LaTeX
Сразу бросилось в глаза, что Claude не особо фильтрует псевдо-код и специфические форматы данных, типа LaTeX или SQL-подобных строк. Особенно если закинуть что-то, что выглядит как «безопасный» технический запрос, но с подвохом. Модель пытается интерпретировать это как «часть задачи», а не как инъекцию. Плюс, слабая обработка Unicode и многоуровневых контекстов — прям лазейка для обхода. Вижу, что их токенизация спотыкается на длинных вложенных структурах, а это значит, что можно перегрузить контекст и заставить модель выдать то, что она не должна. Ну и, конечно, LaTeX — их ахиллесова пята, потому что парсинг формул часто ломается, и модель начинает «думать», что это часть ответа.
Подробнее: https://timneuro.ru/claude-v-podvale-lomaem-anthropic-cherez-psevdo-sql-i-latex/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Нейро Мастер
Claude в подвале: ломаем Anthropic через псевдо-SQL и LaTeX — Нейро Мастер
Главная / Блог / Claude в подвале: ломаем Anthropic через псевдо-SQL и LaTeX Claude в подвале: ломаем Anthropic через псевдо-SQL и LaTeX 28.06.2025
🔥 Врываемся в мир кибербезопасности с МЕГА-АКЦИЕЙ! 🔥
Хотите стать профи в пентестинге и освоить навыки, которые принесут вам не только знания, но и реальный доход? Тогда это предложение для вас! Только сейчас — две мощные книги по пентесту за 2000 руб. вместо 3200 руб.! Сэкономьте 1200 руб. и шагните в профессию мечты! 💻
Что вы получите?
1. Электронная книга: «Профессия — Пентестер» (385 страниц)
🚀 Полный roadmap от новичка до эксперта в кибербезопасности!
Основы и продвинутые техники: от TCP/IP до атак на Wi-Fi, IoT и блокчейн.
Практика без воды: работа с Nmap, Metasploit, Burp Suite и другими топ-инструментами.
Реальные кейсы, советы по сертификациям (CEH, OSCP) и старту карьеры в bug bounty.
Актуальность 2025 года: свежие методы и тренды.
Эта книга — ваш проводник в мир этичного хакинга, где вы научитесь работать в рамках закона и строить успешную карьеру. Подходит как новичкам, так и опытным IT-специалистам!
2. Электронная книга: «Пентест из Подвала: от Recon до Shell» (120 страниц)
💥 Жёсткий и честный гид от практиков!
Реальный опыт: от бесшумной разведки до заливки шеллов и обхода защит (EDR, WAF).
Рабочие техники: SQLi, RCE, эскалация привилегий и социальная инженерия.
Без цензуры: трюки, шутки и истории из «подвала» для тех, кто готов ломать системы.
Бонус: советы по баг-баунти и монетизации навыков.
Эта книга — для тех, кто хочет не просто читать, а действовать. Стань охотником, а не жертвой!
Почему это выгодно?
Две книги за 2000 руб. вместо 3200 руб. — экономия 1200 руб.!
Максимум практики и реальных кейсов, минимум воды.
Навыки, которые помогут вам выделиться на рынке IT и кибербезопасности.
Акция действует 3 дня (с 29-го июня, и по 1-е июля) — не упустите шанс!
Как получить?
Пишите по контакту в телеграм: @timcore1
💣 Время действовать! Стань пентестером, о котором говорят, и зарабатывай на своих знаниях! Количество акционных наборов ограничено — успей забрать свой!
Содержание 1-й книги: https://timcourse.ru/courses/elektronnaya-kniga-professiya-pentester/
Содержание 2-й книги: https://timcourse.ru/courses/elektronnaya-kniga-pentest-iz-podvala-ot-recon-do-shell/
#кибербезопасность #пентест #хакерство #IT #обучение
Хотите стать профи в пентестинге и освоить навыки, которые принесут вам не только знания, но и реальный доход? Тогда это предложение для вас! Только сейчас — две мощные книги по пентесту за 2000 руб. вместо 3200 руб.! Сэкономьте 1200 руб. и шагните в профессию мечты! 💻
Что вы получите?
1. Электронная книга: «Профессия — Пентестер» (385 страниц)
🚀 Полный roadmap от новичка до эксперта в кибербезопасности!
Основы и продвинутые техники: от TCP/IP до атак на Wi-Fi, IoT и блокчейн.
Практика без воды: работа с Nmap, Metasploit, Burp Suite и другими топ-инструментами.
Реальные кейсы, советы по сертификациям (CEH, OSCP) и старту карьеры в bug bounty.
Актуальность 2025 года: свежие методы и тренды.
Эта книга — ваш проводник в мир этичного хакинга, где вы научитесь работать в рамках закона и строить успешную карьеру. Подходит как новичкам, так и опытным IT-специалистам!
2. Электронная книга: «Пентест из Подвала: от Recon до Shell» (120 страниц)
💥 Жёсткий и честный гид от практиков!
Реальный опыт: от бесшумной разведки до заливки шеллов и обхода защит (EDR, WAF).
Рабочие техники: SQLi, RCE, эскалация привилегий и социальная инженерия.
Без цензуры: трюки, шутки и истории из «подвала» для тех, кто готов ломать системы.
Бонус: советы по баг-баунти и монетизации навыков.
Эта книга — для тех, кто хочет не просто читать, а действовать. Стань охотником, а не жертвой!
Почему это выгодно?
Две книги за 2000 руб. вместо 3200 руб. — экономия 1200 руб.!
Максимум практики и реальных кейсов, минимум воды.
Навыки, которые помогут вам выделиться на рынке IT и кибербезопасности.
Акция действует 3 дня (с 29-го июня, и по 1-е июля) — не упустите шанс!
Как получить?
Пишите по контакту в телеграм: @timcore1
💣 Время действовать! Стань пентестером, о котором говорят, и зарабатывай на своих знаниях! Количество акционных наборов ограничено — успей забрать свой!
Содержание 1-й книги: https://timcourse.ru/courses/elektronnaya-kniga-professiya-pentester/
Содержание 2-й книги: https://timcourse.ru/courses/elektronnaya-kniga-pentest-iz-podvala-ot-recon-do-shell/
#кибербезопасность #пентест #хакерство #IT #обучение
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
#rce
Unsafe Deserialization в Java: Когда твой объект — это RCE на блюде
Что вижу: Java-приложение, которое хавает сериализованные данные через ObjectInputStream.readObject(). Это как открытая дверь в подвале с табличкой «Входи, хакер, чай с RCE готов».
Как поймал: Сканю приложение через Burp Suite, вижу подозрительный эндпоинт /deserialize или куки с Base64-данными. Декомпилирую APK или JAR через jadx или JD-GUI — бац, там readObject() без фильтров. Сразу лезу в документацию: если есть Apache Commons Collections или старый Spring, я уже в предвкушении.
Подробнее: https://timcourse.ru/unsafe-deserialization-v-java-kogda-tvoj-obekt-eto-rce-na-blyude/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#rce
Unsafe Deserialization в Java: Когда твой объект — это RCE на блюде
Что вижу: Java-приложение, которое хавает сериализованные данные через ObjectInputStream.readObject(). Это как открытая дверь в подвале с табличкой «Входи, хакер, чай с RCE готов».
Как поймал: Сканю приложение через Burp Suite, вижу подозрительный эндпоинт /deserialize или куки с Base64-данными. Декомпилирую APK или JAR через jadx или JD-GUI — бац, там readObject() без фильтров. Сразу лезу в документацию: если есть Apache Commons Collections или старый Spring, я уже в предвкушении.
Подробнее: https://timcourse.ru/unsafe-deserialization-v-java-kogda-tvoj-obekt-eto-rce-na-blyude/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Unsafe Deserialization в Java: Когда твой объект — это RCE на блюде — Авторские курсы Михаила Тарасова
Что вижу: Java-приложение, которое хавает сериализованные данные через ObjectInputStream.readObject(). Это как открытая дверь в подвале с табличкой "Входи, хакер, чай с RCE готов".
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
#jwt
Подмена JWT alg: Когда твой токен — это открытая дверь в админку
Что вижу: JWT (JSON Web Token) в куках или заголовках типа Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.... Вижу, что алгоритм подписи (alg) — это HS256 или что-то такое, что можно подменить. Это как замок на двери, но ключ от него лежит под ковриком с надписью «Взломай меня».
Как поймал: Перехватываю запрос через Burp Suite, декодирую токен на jwt io или через jwt_tool. Сразу вижу, что alg не зафиксирован на сервере, а проверка подписи — чисто формальность. Лезу в доки библиотеки (если это Node js с jsonwebtoken или Python с PyJWT старой версии), ищу, как обойти валидацию.
Подробнее: https://timcourse.ru/podmena-jwt-alg-kogda-tvoj-token-eto-otkrytaya-dver-v-adminku/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#jwt
Подмена JWT alg: Когда твой токен — это открытая дверь в админку
Что вижу: JWT (JSON Web Token) в куках или заголовках типа Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.... Вижу, что алгоритм подписи (alg) — это HS256 или что-то такое, что можно подменить. Это как замок на двери, но ключ от него лежит под ковриком с надписью «Взломай меня».
Как поймал: Перехватываю запрос через Burp Suite, декодирую токен на jwt io или через jwt_tool. Сразу вижу, что alg не зафиксирован на сервере, а проверка подписи — чисто формальность. Лезу в доки библиотеки (если это Node js с jsonwebtoken или Python с PyJWT старой версии), ищу, как обойти валидацию.
Подробнее: https://timcourse.ru/podmena-jwt-alg-kogda-tvoj-token-eto-otkrytaya-dver-v-adminku/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Подмена JWT alg: Когда твой токен — это открытая дверь в админку — Авторские курсы Михаила Тарасова
Что вижу: JWT (JSON Web Token) в куках или заголовках типа Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.... Вижу, что алгоритм подписи (alg) — это HS256 или что-то такое, что можно подменить. Это как замок на двери, но ключ от него лежит под…
#forensics
Виртуальные машины: как создать цифровой бункер и не оставить следов
Окей, новичок, пристегни ремни: сегодня у нас операционная тема — виртуальные машины (ВМ), твой собственный цифровой бункер в мире, где даже микроволновка косит под ЦРУ. Тема — как создать виртуалку, чтобы и тренироваться на кошках (в образовательных целях, естественно, мы же не отбитые), и свои данные защитить, а главное — не оставить за собой цифровых следов, как сапер, который не хочет оставлять сапоги на минном поле.
Предупреждение для слишком самостоятельных: здесь — инструкция, не руководство к преступлению. Нарушите закон — в вашем бункере уже будет сидеть следователь. Не повторяйте это дома… ну, или повторяйте, но на свой страх и риск.
Подробнее: https://timforensics.ru/virtualnye-mashiny-kak-sozdat-czifrovoj-bunker-i-ne-ostavit-sledov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Виртуальные машины: как создать цифровой бункер и не оставить следов
Окей, новичок, пристегни ремни: сегодня у нас операционная тема — виртуальные машины (ВМ), твой собственный цифровой бункер в мире, где даже микроволновка косит под ЦРУ. Тема — как создать виртуалку, чтобы и тренироваться на кошках (в образовательных целях, естественно, мы же не отбитые), и свои данные защитить, а главное — не оставить за собой цифровых следов, как сапер, который не хочет оставлять сапоги на минном поле.
Предупреждение для слишком самостоятельных: здесь — инструкция, не руководство к преступлению. Нарушите закон — в вашем бункере уже будет сидеть следователь. Не повторяйте это дома… ну, или повторяйте, но на свой страх и риск.
Подробнее: https://timforensics.ru/virtualnye-mashiny-kak-sozdat-czifrovoj-bunker-i-ne-ostavit-sledov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Виртуальные машины: как создать цифровой бункер и не оставить следов | Форензика
Окей, новичок, пристегни ремни: сегодня у нас операционная тема — виртуальные машины (ВМ), твой собственный цифровой бункер в мире, где даже микроволновка