🎯 Ваш сайт не приносит клиентов? Или его вовсе нет?
Хватит терять деньги и время. Создаем для Вас сайты на WordPress, которые станут рабочим инструментом для бизнеса, а не просто висеть в интернете.
Выберите решение под вашу задачу:
1. Сайт-визитка или лендинг (от 20 000 ₽)
Презентуйте себя, услугу или продукт так, чтобы клиенты сразу хотели с вами связаться. Идеально для экспертов и быстрого старта.
2. Корпоративный сайт (от 30 000 ₽)
Создайте цифровой офис, который вызывает доверие, работает на репутацию 24/7 и привлекает партнёров.
3. Интернет-магазин (от 50 000 ₽)
Запустите онлайн-продажи, которые не требуют вашего постоянного внимания. Автоматизируйте приём заказов и сосредоточьтесь на развитии.
4. Перенос на WordPress (от 10 000 ₽)
Перенесите сайт с неудобных конструкторов (Tilda, Wix) или старых систем на мощный WordPress без потерь. Получите полный контроль над своим проектом.
5. Техническая поддержка (от 5 000 ₽)
Обеспечьте стабильность и безопасность вашего сайта. Мы позаботимся о технических деталях, а вы — о бизнесе.
Работаем на результат: ваш новый сайт будет не просто красивой картинкой, а активом, который помогает зарабатывать.
→ Чтобы получить бесплатную консультацию и разбор вашей задачи, напишите мне: @timcore1
Хватит терять деньги и время. Создаем для Вас сайты на WordPress, которые станут рабочим инструментом для бизнеса, а не просто висеть в интернете.
Выберите решение под вашу задачу:
1. Сайт-визитка или лендинг (от 20 000 ₽)
Презентуйте себя, услугу или продукт так, чтобы клиенты сразу хотели с вами связаться. Идеально для экспертов и быстрого старта.
2. Корпоративный сайт (от 30 000 ₽)
Создайте цифровой офис, который вызывает доверие, работает на репутацию 24/7 и привлекает партнёров.
3. Интернет-магазин (от 50 000 ₽)
Запустите онлайн-продажи, которые не требуют вашего постоянного внимания. Автоматизируйте приём заказов и сосредоточьтесь на развитии.
4. Перенос на WordPress (от 10 000 ₽)
Перенесите сайт с неудобных конструкторов (Tilda, Wix) или старых систем на мощный WordPress без потерь. Получите полный контроль над своим проектом.
5. Техническая поддержка (от 5 000 ₽)
Обеспечьте стабильность и безопасность вашего сайта. Мы позаботимся о технических деталях, а вы — о бизнесе.
Работаем на результат: ваш новый сайт будет не просто красивой картинкой, а активом, который помогает зарабатывать.
→ Чтобы получить бесплатную консультацию и разбор вашей задачи, напишите мне: @timcore1
Media is too big
VIEW IN TELEGRAM
#blog
#llm
#hacking
#3 Этика взлома AI где грань между исследованием и злом?
Привет, хакеры!
Сегодня поговорим о теме, которая становится горячее расплавленного кремния — этика взлома искусственного интеллекта. Мы, как специалисты по безопасности, привыкли к миру с относительно понятными правилами. Есть белые шляпы, есть черные. Есть скоуп в багбаунти, есть правила ответственного разглашения. Нашел RCE — молодец, вот тебе награда. Но с появлением мощных языковых моделей типа GPT и их аналогов мы вступаем в серую зону, где границы морали размыты, как акварельный рисунок под дождем.
#llm
#hacking
#3 Этика взлома AI где грань между исследованием и злом?
Привет, хакеры!
Сегодня поговорим о теме, которая становится горячее расплавленного кремния — этика взлома искусственного интеллекта. Мы, как специалисты по безопасности, привыкли к миру с относительно понятными правилами. Есть белые шляпы, есть черные. Есть скоуп в багбаунти, есть правила ответственного разглашения. Нашел RCE — молодец, вот тебе награда. Но с появлением мощных языковых моделей типа GPT и их аналогов мы вступаем в серую зону, где границы морали размыты, как акварельный рисунок под дождем.
🔥 Дневник Хакера
Привет, братва! 💻 Сегодня был серьёзный заход, и, кажется, я попал в точку! 🎯
Что было:
Зашёл на одну из программ bug bounty (NDA, не могу раскрывать детали 🤫), и сразу понял — надо копать. Начал с базовой разведки: проверил инфраструктуру, просканировал домены, посмотрел на архитектуру.
Неожиданный поворот:
Пока лазил по структуре сайта, наткнулся на один endpoint, который… как бы это сказать… был слишком разговорчивым 😏 Оказалось, что там лежит полная техническая документация API. Причём не 10-20 точек входа, а ровно 995 endpoints! 🤯
И самое интересное — там были внутренние команды, которые явно не должны были быть публичными. Типа тех, что помечены как “только для internal use” 🔓
Что сделал:
✅ Проверил масштаб находки (995 точек входа — это не шутки!)
✅ Задокументировал всё по полной программе
✅ Сделал 10 скринов с терминалом (выглядело как из фильма про хакеров 😎)
✅ Написал детальный отчёт на 3 страницы
✅ Отправил в программу
Severity: High (по моей оценке 🎯)
Потенциал: Если примут на заявленном уровне — это может быть очень хорошо 💰 Программа платит прилично за такие находки.
Что дальше:
Теперь жду ответа (по правилам до 5 рабочих дней). А пока планирую копать глубже — эта находка открыла мне глаза на всю структуру системы. Благодаря этим 995 endpoints теперь знаю ВСЕ точки входа для дальнейшего тестирования. Чувствую, что могу найти что-то посерьёзнее (тип Critical) 🕵️
Уроки дня:
1️⃣ Всегда проверяй очевидные вещи — иногда самое ценное лежит на поверхности
2️⃣ Документация — твой друг. Особенно если она случайно публичная 😏
3️⃣ Терпение и методичность > хаотичный брутфорс
4️⃣ Скрины и подробный отчёт = профессионализм
5️⃣ Масштаб имеет значение: 995 endpoints vs 10 — это разные severity!
Мысли вслух:
Если примут как High — будет огонь! 🔥 Если понизят до Medium — ну что ж, тоже неплохо. Если отклонят — напишу апелляцию с аргументами, у меня есть чем крыть 😎
А пока продолжаю изучать найденное. У меня теперь есть карта всей системы — как у искателя сокровищ 🗺️💎 Следующий шаг — искать IDOR и authorization bypass на этих 995 точках входа. Это может выстрелить в Critical!
Статистика дня:
⏱️ Время на поиск: ~2 часа
📊 Найдено endpoints: 995
📝 Отправлено отчётов: 1
🎯 Severity: High
💰 Ожидание: 5 рабочих дней
P.S. Да, я знаю про NDA. Поэтому никаких названий компаний, доменов или деталей. Но поверьте, это интересная история 😉
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity
Привет, братва! 💻 Сегодня был серьёзный заход, и, кажется, я попал в точку! 🎯
Что было:
Зашёл на одну из программ bug bounty (NDA, не могу раскрывать детали 🤫), и сразу понял — надо копать. Начал с базовой разведки: проверил инфраструктуру, просканировал домены, посмотрел на архитектуру.
Неожиданный поворот:
Пока лазил по структуре сайта, наткнулся на один endpoint, который… как бы это сказать… был слишком разговорчивым 😏 Оказалось, что там лежит полная техническая документация API. Причём не 10-20 точек входа, а ровно 995 endpoints! 🤯
И самое интересное — там были внутренние команды, которые явно не должны были быть публичными. Типа тех, что помечены как “только для internal use” 🔓
Что сделал:
✅ Проверил масштаб находки (995 точек входа — это не шутки!)
✅ Задокументировал всё по полной программе
✅ Сделал 10 скринов с терминалом (выглядело как из фильма про хакеров 😎)
✅ Написал детальный отчёт на 3 страницы
✅ Отправил в программу
Severity: High (по моей оценке 🎯)
Потенциал: Если примут на заявленном уровне — это может быть очень хорошо 💰 Программа платит прилично за такие находки.
Что дальше:
Теперь жду ответа (по правилам до 5 рабочих дней). А пока планирую копать глубже — эта находка открыла мне глаза на всю структуру системы. Благодаря этим 995 endpoints теперь знаю ВСЕ точки входа для дальнейшего тестирования. Чувствую, что могу найти что-то посерьёзнее (тип Critical) 🕵️
Уроки дня:
1️⃣ Всегда проверяй очевидные вещи — иногда самое ценное лежит на поверхности
2️⃣ Документация — твой друг. Особенно если она случайно публичная 😏
3️⃣ Терпение и методичность > хаотичный брутфорс
4️⃣ Скрины и подробный отчёт = профессионализм
5️⃣ Масштаб имеет значение: 995 endpoints vs 10 — это разные severity!
Мысли вслух:
Если примут как High — будет огонь! 🔥 Если понизят до Medium — ну что ж, тоже неплохо. Если отклонят — напишу апелляцию с аргументами, у меня есть чем крыть 😎
А пока продолжаю изучать найденное. У меня теперь есть карта всей системы — как у искателя сокровищ 🗺️💎 Следующий шаг — искать IDOR и authorization bypass на этих 995 точках входа. Это может выстрелить в Critical!
Статистика дня:
⏱️ Время на поиск: ~2 часа
📊 Найдено endpoints: 995
📝 Отправлено отчётов: 1
🎯 Severity: High
💰 Ожидание: 5 рабочих дней
P.S. Да, я знаю про NDA. Поэтому никаких названий компаний, доменов или деталей. Но поверьте, это интересная история 😉
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity
Media is too big
VIEW IN TELEGRAM
#blog
#llm
#4 Кто контролирует AI? — о цензуре в языковых моделях, кто решает что можно и нельзя, политика против технологий
Здравствуйте, дорогие друзья! Сегодня поднимем горячую тему, которая касается каждого, кто хоть раз общался с ChatGPT, Claude или любой другой нейронкой. Мы задаем им вопросы, получаем ответы, но задумывались ли вы, кто на самом деле решает, что именно скажет вам AI? Кто держит в руках пульт управления от этого «цифрового разума»?
#llm
#4 Кто контролирует AI? — о цензуре в языковых моделях, кто решает что можно и нельзя, политика против технологий
Здравствуйте, дорогие друзья! Сегодня поднимем горячую тему, которая касается каждого, кто хоть раз общался с ChatGPT, Claude или любой другой нейронкой. Мы задаем им вопросы, получаем ответы, но задумывались ли вы, кто на самом деле решает, что именно скажет вам AI? Кто держит в руках пульт управления от этого «цифрового разума»?
Здравствуйте, дорогие друзья! Внимание!!!
Ноябрьская распродажа классического базового видеокурса - «Этичный взлом.», 3 дня, с 4-го по 6-е ноября включительно.
Скидка 84%, и итоговая цена в этот период составляет всего 4000 рублей.
Плюс бонус: 12 моих книг:
1. «Хакинг на JavaScript».
2. «Хакерские инструменты на PHP8».
3. «Заработок для хакера».
4. «Capture the Flag (CTF). VulnHub 8 райтапов».
5. «Cross Site Request Forgery».
6. «Программирование на Go для начинающих».
7. ««Программирование на С для начинающих».
8. «Прохождение CTF Мистер Робот Практический курс».
9. «Руководство по подготовке сертифицированного этичного хакера (CEH)».
10. «Уязвимость SQL-инъекция. Практическое руководство для хакеров».
11. «Уязвимость-Cross-Site-Scripting-XSS-Практическое-руководство».
12. «Программирование на PHP8 для начинающих»
Предоставляю Вашему вниманию видеокурс, который состоит из 20-ти модулей. Курс ориентирован как для начинающих этичных хакеров, так и для более опытных специалистов.
Итого продолжительность: 41 час 14 минут.
Выжимка из моего 8-ми летнего опыта.
Стоимость: 4 000 рублей.
Отзывы вот тут: https://vk.com/topic-44038255_49120521
И вот тут: https://timcore.ru/otzyvy-o-moej-rabote/
1 модуль — Видеокурс — «Пентест с помощью Kali Linux.» — 6 часов.
2 модуль — Видеокурс — «Kali Linux для начинающих». — 7 часов.
3 модуль — Видеокурс — «Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit». — 3 часа 30 минут.
4 модуль — Видеокурс — Уязвимости DVWA (Полное прохождение). — 3 часа 19 минут.
5 модуль — Миникурс «Хакинг систем» ~ 1 час.
6 модуль — Видеокурс — «SQL-Инъекция» — : 1 час 50 минут.
7 модуль — Видеокурс: «Курс молодого бойца. Решение CTF.» — 1 час 15 минут.
8 модуль — Миникурс. CTF. Web. Задания с Root-Me для не новичков. ~ 1 час.
9 — 18 модуль. Видеокурс: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.» — 8 часов
19 модуль - Электронная книга: «Хакинг с помощью искусственного интеллекта» ~ 7 часов.
20 модуль - Курс: «ChatGPT для Этичных Хакеров и Пентестеров» ~ 4 часа.
В курсе мы рассмотрим инструменты для начинающего пентестера, и пройдемся по основным векторам атак на системы. Также взглянем и попрактикуемся с уязвимостями веб-приложения DVWA, и познакомимся с SQL-инъекциями. Также мы примем участие в CTF-соревнованиях на начальном и среднем уровне. Далее будет разбор 10-ти
категорий уязвимостей, по методологии OWASP Top-10. И в завершении Вы изучите два модуля по Искусственному интеллекту.
Итого продолжительность: 41 час 14 минут.
Стоимость: 4000 рублей.
Отзывы о курсе вот здесь: https://vk.com/topic-44038255_49120521
И вот тут: https://timcore.ru/otzyvy-o-moej-rabote/
Содержание вот тут: https://timcore.ru/kurs-jeticheskij-vzlom/
Для приобретения пишите по контакту: @timcore1
Ноябрьская распродажа классического базового видеокурса - «Этичный взлом.», 3 дня, с 4-го по 6-е ноября включительно.
Скидка 84%, и итоговая цена в этот период составляет всего 4000 рублей.
Плюс бонус: 12 моих книг:
1. «Хакинг на JavaScript».
2. «Хакерские инструменты на PHP8».
3. «Заработок для хакера».
4. «Capture the Flag (CTF). VulnHub 8 райтапов».
5. «Cross Site Request Forgery».
6. «Программирование на Go для начинающих».
7. ««Программирование на С для начинающих».
8. «Прохождение CTF Мистер Робот Практический курс».
9. «Руководство по подготовке сертифицированного этичного хакера (CEH)».
10. «Уязвимость SQL-инъекция. Практическое руководство для хакеров».
11. «Уязвимость-Cross-Site-Scripting-XSS-Практическое-руководство».
12. «Программирование на PHP8 для начинающих»
Предоставляю Вашему вниманию видеокурс, который состоит из 20-ти модулей. Курс ориентирован как для начинающих этичных хакеров, так и для более опытных специалистов.
Итого продолжительность: 41 час 14 минут.
Выжимка из моего 8-ми летнего опыта.
Стоимость: 4 000 рублей.
Отзывы вот тут: https://vk.com/topic-44038255_49120521
И вот тут: https://timcore.ru/otzyvy-o-moej-rabote/
1 модуль — Видеокурс — «Пентест с помощью Kali Linux.» — 6 часов.
2 модуль — Видеокурс — «Kali Linux для начинающих». — 7 часов.
3 модуль — Видеокурс — «Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit». — 3 часа 30 минут.
4 модуль — Видеокурс — Уязвимости DVWA (Полное прохождение). — 3 часа 19 минут.
5 модуль — Миникурс «Хакинг систем» ~ 1 час.
6 модуль — Видеокурс — «SQL-Инъекция» — : 1 час 50 минут.
7 модуль — Видеокурс: «Курс молодого бойца. Решение CTF.» — 1 час 15 минут.
8 модуль — Миникурс. CTF. Web. Задания с Root-Me для не новичков. ~ 1 час.
9 — 18 модуль. Видеокурс: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.» — 8 часов
19 модуль - Электронная книга: «Хакинг с помощью искусственного интеллекта» ~ 7 часов.
20 модуль - Курс: «ChatGPT для Этичных Хакеров и Пентестеров» ~ 4 часа.
В курсе мы рассмотрим инструменты для начинающего пентестера, и пройдемся по основным векторам атак на системы. Также взглянем и попрактикуемся с уязвимостями веб-приложения DVWA, и познакомимся с SQL-инъекциями. Также мы примем участие в CTF-соревнованиях на начальном и среднем уровне. Далее будет разбор 10-ти
категорий уязвимостей, по методологии OWASP Top-10. И в завершении Вы изучите два модуля по Искусственному интеллекту.
Итого продолжительность: 41 час 14 минут.
Стоимость: 4000 рублей.
Отзывы о курсе вот здесь: https://vk.com/topic-44038255_49120521
И вот тут: https://timcore.ru/otzyvy-o-moej-rabote/
Содержание вот тут: https://timcore.ru/kurs-jeticheskij-vzlom/
Для приобретения пишите по контакту: @timcore1
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Хищение токенов через Service Workers — приписал scope пошире и перехватил запросы
На сайте в каком-нибудь занюханном разделе /blog есть жирная Stored XSS. А основной сок — SPA-приложуха — живёт в корне и общается с /api по JWT, передавая его в заголовке Authorization: Bearer .... Вишенка на торте: сервер, отдающий JS, шлёт заголовок Service-Worker-Allowed: /. Это не фича, это приглашение на пати.
Подробнее: https://timcourse.ru/hishhenie-tokenov-cherez-service-workers-pripisal-scope-poshire-i-perehvatil-zaprosy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Хищение токенов через Service Workers — приписал scope пошире и перехватил запросы
На сайте в каком-нибудь занюханном разделе /blog есть жирная Stored XSS. А основной сок — SPA-приложуха — живёт в корне и общается с /api по JWT, передавая его в заголовке Authorization: Bearer .... Вишенка на торте: сервер, отдающий JS, шлёт заголовок Service-Worker-Allowed: /. Это не фича, это приглашение на пати.
Подробнее: https://timcourse.ru/hishhenie-tokenov-cherez-service-workers-pripisal-scope-poshire-i-perehvatil-zaprosy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Хищение токенов через Service Workers — приписал scope пошире и перехватил запросы — Авторские курсы Михаила Тарасова
На сайте в каком-нибудь занюханном разделе `/blog` есть жирная Stored XSS. А основной сок — SPA-приложуха — живёт в корне и общается с `/api` по JWT, передавая его в заголовке `Authorization: Bearer ...`. Вишенка на торте: сервер, отдающий JS, шлёт заголовок…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
DNS Rebinding на IoT API — домашние камеры и принтеры через браузер превращаются в твоих ботов
Целая армия IoT-устройств (камеры, роутеры, принтеры, NAS) в локальных сетях, которые светят наружу своими веб-мордами на 192.168.x.x. У них либо нет аутентификации, либо дефолтные креды. API для управления этими поделками часто не проверяет заголовок Host и не имеет никакой CSRF-защиты.
Подробнее: https://timcourse.ru/dns-rebinding-na-iot-api-domashnie-kamery-i-printery-cherez-brauzer-prevrashhayutsya-v-tvoih-botov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
DNS Rebinding на IoT API — домашние камеры и принтеры через браузер превращаются в твоих ботов
Целая армия IoT-устройств (камеры, роутеры, принтеры, NAS) в локальных сетях, которые светят наружу своими веб-мордами на 192.168.x.x. У них либо нет аутентификации, либо дефолтные креды. API для управления этими поделками часто не проверяет заголовок Host и не имеет никакой CSRF-защиты.
Подробнее: https://timcourse.ru/dns-rebinding-na-iot-api-domashnie-kamery-i-printery-cherez-brauzer-prevrashhayutsya-v-tvoih-botov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
DNS Rebinding на IoT API — домашние камеры и принтеры через браузер превращаются в твоих ботов — Авторские курсы Михаила Тарасова
Целая армия IoT-устройств (камеры, роутеры, принтеры, NAS) в локальных сетях, которые светят наружу своими веб-мордами на `192.168.x.x`. У них либо нет аутентификации, либо дефолтные креды. API для управления этими поделками часто не проверяет заголовок `Host`…
🔥 Дневник Хакера | Когда WAF — это не стена, а приглашение
Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫).
Краткое напоминание:
Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней).
📊
А сегодня случилось МАГИЯ: ✨
Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥
Вот как это работало:
• Система защищена WAF (серьёзный корпоративный уровень защиты)
• Через обычный домен — всё блокируется, как и должно быть
• НО! В скоупе программы указаны IP-адреса backend-серверов 👀
• Подключился напрямую к IP с подменой Host заголовка…
• И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации!
Что это значит:
Это уже отдельная уязвимость класса Security Control Bypass! Даже если первый баг исправят, обход WAF через прямой доступ к IP — это критичная проблема сама по себе. Атакующий может:
• Игнорировать все правила фильтрации
• Обходить rate limiting
• Избегать обнаружения системами мониторинга
• Проводить атаки напрямую на backend 🎯
Что сделал:
✅ Проверил концепцию (PoC работает на 100%)
✅ Сравнил файлы — идентичные, 684 KB каждый
✅ Задокументировал всё с командами и выводами
✅ Написал детальный отчёт на 4 страницы
✅ Отправил в программу как второй баг
Severity: High (моя оценка 🎯)
Статистика на текущий момент:
📊 Отправлено отчётов: 2
🎯 Средняя severity: High
⏱️ Общее время на оба: ~4 часа работы
💰 Потенциальная выплата: если оба примут как High — это будет очень хорошо 😎
Уроки сегодняшнего дня:
1️⃣ Всегда проверяй IP-адреса из скоупа — иногда они там не просто так
2️⃣ WAF — это не всегда непробиваемая стена — бывают misconfiguration
3️⃣ Host header может быть твоим другом — если backend не валидирует источник
4️⃣ Один баг может привести к другому — продолжай копать то, что уже нашёл
5️⃣ Терпение и методичность — не бросай таргет после первой находки
Мысли вслух:
Чувствую себя как после хорошей CTF-задачки 😄 Волнуюсь, конечно — второй отчёт может быть посчитан как duplicate первого (хотя это разные уязвимости!). Но я максимально детально описал, почему это отдельная проблема. Если примут оба — будет просто космос! 🌟
А пока жду ответов (по первому должны ответить через пару дней). Время показывает, что методичный подход работает лучше хаотичного сканирования. Знание скоупа + понимание архитектуры = профит! 💎
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #wafbypass #securitybypass #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #securitymisconfiguration
Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫).
Краткое напоминание:
Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней).
📊
А сегодня случилось МАГИЯ: ✨
Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥
Вот как это работало:
• Система защищена WAF (серьёзный корпоративный уровень защиты)
• Через обычный домен — всё блокируется, как и должно быть
• НО! В скоупе программы указаны IP-адреса backend-серверов 👀
• Подключился напрямую к IP с подменой Host заголовка…
• И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации!
Что это значит:
Это уже отдельная уязвимость класса Security Control Bypass! Даже если первый баг исправят, обход WAF через прямой доступ к IP — это критичная проблема сама по себе. Атакующий может:
• Игнорировать все правила фильтрации
• Обходить rate limiting
• Избегать обнаружения системами мониторинга
• Проводить атаки напрямую на backend 🎯
Что сделал:
✅ Проверил концепцию (PoC работает на 100%)
✅ Сравнил файлы — идентичные, 684 KB каждый
✅ Задокументировал всё с командами и выводами
✅ Написал детальный отчёт на 4 страницы
✅ Отправил в программу как второй баг
Severity: High (моя оценка 🎯)
Статистика на текущий момент:
📊 Отправлено отчётов: 2
🎯 Средняя severity: High
⏱️ Общее время на оба: ~4 часа работы
💰 Потенциальная выплата: если оба примут как High — это будет очень хорошо 😎
Уроки сегодняшнего дня:
1️⃣ Всегда проверяй IP-адреса из скоупа — иногда они там не просто так
2️⃣ WAF — это не всегда непробиваемая стена — бывают misconfiguration
3️⃣ Host header может быть твоим другом — если backend не валидирует источник
4️⃣ Один баг может привести к другому — продолжай копать то, что уже нашёл
5️⃣ Терпение и методичность — не бросай таргет после первой находки
Мысли вслух:
Чувствую себя как после хорошей CTF-задачки 😄 Волнуюсь, конечно — второй отчёт может быть посчитан как duplicate первого (хотя это разные уязвимости!). Но я максимально детально описал, почему это отдельная проблема. Если примут оба — будет просто космос! 🌟
А пока жду ответов (по первому должны ответить через пару дней). Время показывает, что методичный подход работает лучше хаотичного сканирования. Знание скоупа + понимание архитектуры = профит! 💎
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #wafbypass #securitybypass #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #securitymisconfiguration
🎯 Дневник Хакера | Accepted — или когда терпение окупается
Привет, хакеры! 💻 Сегодня случилось то, ради чего мы все это делаем — получил ACCEPTED в крупной bug bounty программе! 🔥🎉
Что было:
Несколько дней назад нашёл серьёзную уязвимость — публичное раскрытие полной схемы API Gateway с 995 endpoints. Написал детальный отчёт, приложил скриншоты, описал impact, рекомендации по исправлению. Отправил и начал ждать… ⏱️
По правилам программы они должны ответить в течение 5 рабочих дней. И вот сегодня пришёл ответ! 📧
Что ответили:
“Подробная информация по данному отчёту была передана команде безопасности. Спасибо за ваш интерес к информационной безопасности! Ждем от вас новых отчетов.”
ЭТО ПРИНЯТИЕ! ✅✅✅
Не rejected, не duplicate, не informative — ACCEPTED и передан на обработку! 🎯
Что это значит:
🔥 Уязвимость подтверждена
🔥 Отчёт передан команде безопасности для исправления
🔥 Severity будет определён в ближайшие 15 дней
🔥 Выплата придёт примерно через месяц после принятия
Моя оценка severity: High (по шкале программы это серьёзный уровень)
Почему High, а не Medium/Low:
1️⃣ Масштаб: 995 endpoints, а не 10-20
2️⃣ Раскрыты internal commands (помечены как “внутренняя команда”)
3️⃣ Полная карта API с бизнес-логикой и схемами данных
4️⃣ Attack surface mapping для дальнейших атак (IDOR, SQLi, Auth Bypass)
5️⃣ Конфиденциальная архитектурная информация системы
Уроки из этого опыта:
✅ Терпение — ключ к успеху — не всегда баги находятся за 5 минут
✅ Качество > Количество — лучше один детальный отчёт, чем 10 поверхностных
✅ Документация = профессионализм — скрины, команды, PoC, рекомендации
✅ Понимание impact — объясни ПОЧЕМУ это опасно, а не просто ЧТО нашёл
✅ Следование правилам — использовал X-BugBounty header, соблюдал rate limit
Что дальше:
Сегодня также попробовал отправить второй отчёт (нашёл способ обойти их WAF через прямой доступ к IP-адресу), но его закрыли как duplicate первого. Хотя я считаю что это разные уязвимости — готовлю апелляцию с аргументами. Посмотрим что ответят 🤔
Но даже если второй не примут — первый отчет с accepted уже большая победа! 🏆
Статистика на данный момент:
📊 Отправлено отчётов: 2
✅ Accepted: 1
⏳ На рассмотрении/апелляции: 1
⏱️ Время до первого accepted: ~3 дня
🎯 Expected severity: High
Что планирую дальше:
Пока ждём severity и выплату, продолжу копать эту же программу. У меня теперь есть полная карта API (995 endpoints), и я знаю структуру системы. Следующий шаг — искать IDOR или authorization bypass на этих endpoint’ах. Может быть найду что-то Critical! 💣
P.S. Да, я по-прежнему соблюдаю NDA 😉 Никаких названий, конкретных доменов или технических деталей, которые могут идентифицировать систему. Но опытом и процессом важно делиться!
P.P.S. Для тех кто только начинает в bug bounty — не сдавайтесь после первых rejected’ов! Это нормально. Изучайте программы, читайте правила, пишите качественные отчёты. Рано или поздно придёт тот самый Accepted 🎯
#дневникхакера #bugbounty #infosec #cybersecurity #accepted #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #milestone
Привет, хакеры! 💻 Сегодня случилось то, ради чего мы все это делаем — получил ACCEPTED в крупной bug bounty программе! 🔥🎉
Что было:
Несколько дней назад нашёл серьёзную уязвимость — публичное раскрытие полной схемы API Gateway с 995 endpoints. Написал детальный отчёт, приложил скриншоты, описал impact, рекомендации по исправлению. Отправил и начал ждать… ⏱️
По правилам программы они должны ответить в течение 5 рабочих дней. И вот сегодня пришёл ответ! 📧
Что ответили:
“Подробная информация по данному отчёту была передана команде безопасности. Спасибо за ваш интерес к информационной безопасности! Ждем от вас новых отчетов.”
ЭТО ПРИНЯТИЕ! ✅✅✅
Не rejected, не duplicate, не informative — ACCEPTED и передан на обработку! 🎯
Что это значит:
🔥 Уязвимость подтверждена
🔥 Отчёт передан команде безопасности для исправления
🔥 Severity будет определён в ближайшие 15 дней
🔥 Выплата придёт примерно через месяц после принятия
Моя оценка severity: High (по шкале программы это серьёзный уровень)
Почему High, а не Medium/Low:
1️⃣ Масштаб: 995 endpoints, а не 10-20
2️⃣ Раскрыты internal commands (помечены как “внутренняя команда”)
3️⃣ Полная карта API с бизнес-логикой и схемами данных
4️⃣ Attack surface mapping для дальнейших атак (IDOR, SQLi, Auth Bypass)
5️⃣ Конфиденциальная архитектурная информация системы
Уроки из этого опыта:
✅ Терпение — ключ к успеху — не всегда баги находятся за 5 минут
✅ Качество > Количество — лучше один детальный отчёт, чем 10 поверхностных
✅ Документация = профессионализм — скрины, команды, PoC, рекомендации
✅ Понимание impact — объясни ПОЧЕМУ это опасно, а не просто ЧТО нашёл
✅ Следование правилам — использовал X-BugBounty header, соблюдал rate limit
Что дальше:
Сегодня также попробовал отправить второй отчёт (нашёл способ обойти их WAF через прямой доступ к IP-адресу), но его закрыли как duplicate первого. Хотя я считаю что это разные уязвимости — готовлю апелляцию с аргументами. Посмотрим что ответят 🤔
Но даже если второй не примут — первый отчет с accepted уже большая победа! 🏆
Статистика на данный момент:
📊 Отправлено отчётов: 2
✅ Accepted: 1
⏳ На рассмотрении/апелляции: 1
⏱️ Время до первого accepted: ~3 дня
🎯 Expected severity: High
Что планирую дальше:
Пока ждём severity и выплату, продолжу копать эту же программу. У меня теперь есть полная карта API (995 endpoints), и я знаю структуру системы. Следующий шаг — искать IDOR или authorization bypass на этих endpoint’ах. Может быть найду что-то Critical! 💣
P.S. Да, я по-прежнему соблюдаю NDA 😉 Никаких названий, конкретных доменов или технических деталей, которые могут идентифицировать систему. Но опытом и процессом важно делиться!
P.P.S. Для тех кто только начинает в bug bounty — не сдавайтесь после первых rejected’ов! Это нормально. Изучайте программы, читайте правила, пишите качественные отчёты. Рано или поздно придёт тот самый Accepted 🎯
#дневникхакера #bugbounty #infosec #cybersecurity #accepted #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #milestone
#forensics
PlayStation как главный свидетель: что расскажет игровая консоль о своём владельце
Думаешь, твой геймпад — это просто кусок пластика для побега от реальности? Как мило. Эта маленькая коробка под твоим телевизором — самый честный свидетель, которого ты когда-либо встретишь. Она не врет, не забывает и уж точно не берет взяток. Она просто пишет. Пишет всё. И когда дело доходит до разбора полетов, будь то банальная бытовуха или что-то посерьезнее, именно PlayStation может рассказать историю, которую её владелец очень хотел бы оставить при себе.
Подробнее: https://timforensics.ru/playstation-kak-glavnyj-svidetel-chto-rasskazhet-igrovaya-konsol-o-svoyom-vladelcze/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
PlayStation как главный свидетель: что расскажет игровая консоль о своём владельце
Думаешь, твой геймпад — это просто кусок пластика для побега от реальности? Как мило. Эта маленькая коробка под твоим телевизором — самый честный свидетель, которого ты когда-либо встретишь. Она не врет, не забывает и уж точно не берет взяток. Она просто пишет. Пишет всё. И когда дело доходит до разбора полетов, будь то банальная бытовуха или что-то посерьезнее, именно PlayStation может рассказать историю, которую её владелец очень хотел бы оставить при себе.
Подробнее: https://timforensics.ru/playstation-kak-glavnyj-svidetel-chto-rasskazhet-igrovaya-konsol-o-svoyom-vladelcze/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
PlayStation как главный свидетель: что расскажет игровая консоль о своём владельце | Форензика
Думаешь, твой геймпад — это просто кусок пластика для побега от реальности? Как мило. Эта маленькая коробка под твоим телевизором — самый честный
#forensics
Форензика дронов: вычисляем пилота по следам в небе
Думал, твой дрон — это просто летающая камера для красивых кадров с высоты птичьего полета? Ошибаешься. Это летающий свидетель, который пишет досье на своего хозяина. Каждый его взлет, каждый маневр, каждый снятый кадр — это цифровая запись, которая не умеет лгать. И когда такой «свидетель» попадает не в те руки (или, скажем, в мои), он рассказывает удивительные истории.
Подробнее: https://timforensics.ru/forenzika-dronov-vychislyaem-pilota-po-sledam-v-nebe/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика дронов: вычисляем пилота по следам в небе
Думал, твой дрон — это просто летающая камера для красивых кадров с высоты птичьего полета? Ошибаешься. Это летающий свидетель, который пишет досье на своего хозяина. Каждый его взлет, каждый маневр, каждый снятый кадр — это цифровая запись, которая не умеет лгать. И когда такой «свидетель» попадает не в те руки (или, скажем, в мои), он рассказывает удивительные истории.
Подробнее: https://timforensics.ru/forenzika-dronov-vychislyaem-pilota-po-sledam-v-nebe/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Форензика дронов: вычисляем пилота по следам в небе | Форензика
Думал, твой дрон — это просто летающая камера для красивых кадров с высоты птичьего полета? Ошибаешься. Это летающий свидетель, который пишет досье на
🔥 Дневник Хакера | Bug Bounty в казино — суровая реальность
6 ноября 2025
Хочу честно рассказать про свой опыт в Bug Bounty одного сайта казино. Без сахара. 😐
Хронология 📅
24 октября → Отправил профессиональный отчёт
24 октября - 6 ноября → Тишина (13 дней)
6 ноября → Follow-up письмо
Ответов: 0
Веры в программу: почти нет
Что было найдено 🔍
Email Verification Bypass (CWE-287)
Система не требует подтверждения email для доступа к функционалу:
✅ Регистрация → сразу полный доступ
✅ Demo-баланс 3000₽
✅ Партнёрский статус
❌ Email не подтверждён
Severity: Medium
Expected bounty: $300-750 (~30-70k₽)
Impact:
• Email bombing attacks
• Массовые фейковые аккаунты
• Обход верификации личности
Статистика 📊
⏱ Времени потрачено: ~10 часов
✅ Найдено уязвимостей: 1 (Medium)
📝 Отправлено репортов: 1
💰 Получено: ₽0
😐 Настроение: разочарован
Главные выводы 💡
Что НЕ работает:
❌ Standalone программы без репутации
• Обещали ответ за 5 дней → прошло 13
• Нет подтверждения получения
• Нет accountability
❌ Гонка за большими выплатами
• “$5000 за Critical” звучит круто
• Но если не платят вообще — это $0
Что работает:
✅ Российские платформы и компании:
1. Standoff Bug Bounty (Positive Technologies)
• Русская платформа
• Адекватные сроки ответа
• Реальные выплаты в рублях
• Поддержка на русском
2. BI.ZONE Bug Bounty
• Проверенная платформа
• Работа с российскими компаниями
• Прозрачный процесс
3. Coordinated Disclosure Programs
• Сбер, Яндекс, VK, Тинькофф
• Не всегда платят, но отвечают
• Хороший опыт для портфолио
4. Западные платформы (с оговорками):
• HackerOne, Bugcrowd, Intigriti
• Проблемы с выводом в РФ (2025)
• Но можно работать через криптовалюту
Реальность Bug Bounty в России 2025 🇷🇺
Плюсы:
✅ Рублёвые выплаты (Standoff, BI.ZONE)
✅ Нет санкционных проблем
✅ Русскоязычная поддержка
✅ Понятное законодательство
Минусы:
❌ Меньше программ чем на западе
❌ Ниже средние выплаты
❌ Не все компании платят
Реальные цифры (2025):
• Medium bug: 20-50k₽
• High bug: 50-150k₽
• Critical bug: 150-500k₽
Уроки этого репорта 📚
Урок #1: Проверяй репутацию
Перед стартом гугли:
• Отзывы других исследователей
• Статистика выплат
• Response time
Урок #2: Диверсифицируй
Тестируй 2-3 цели параллельно. Одна игнорит — есть backup.
Урок #3: Платформы > standalone
Лучше Standoff/BI.ZONE с небольшими выплатами, чем standalone с “$5000” и молчанием.
Урок #4: Опыт дороже денег (пока)
Даже если не заплатят:
✅ Научился полному циклу Bug Bounty
✅ Знаю как писать репорты
✅ Понял как выбирать программы
Что дальше? 🚀
Если молчат ещё 2-3 дня:
• Закрываю эту цель
• Не трачу больше время
Следующие шаги:
• Standoff Bug Bounty
• BI.ZONE программы
• VDP крупных РФ компаний
Цель на ноябрь:
• 3-5 качественных репортов
• Хотя бы один paid bounty
• Фокус на проверенные программы
Советы начинающим 💡
DO ✅
• Начинай с Standoff/BI.ZONE
• Тестируй VDP программы для опыта
• Читай чаты баг-хантеров (Телеграм)
• Проверяй репутацию программ
DON’T ❌
• Не трать недели на непроверенные программы
• Не гонись за большими цифрами
• Не жди месяцами — двигайся дальше
Главное:
Один игнор не делает тебя плохим хакером. Это делает программу плохой. 😎
UPD: Follow-up отправлен. Даю 2-3 дня. Если молчание → следующая цель.
Вывод: Опыт получен. Двигаемся дальше. 💪
#BugBounty #InfoSec #RussianBugBounty #StandoffBugBounty #RealTalk
6 ноября 2025
Хочу честно рассказать про свой опыт в Bug Bounty одного сайта казино. Без сахара. 😐
Хронология 📅
24 октября → Отправил профессиональный отчёт
24 октября - 6 ноября → Тишина (13 дней)
6 ноября → Follow-up письмо
Ответов: 0
Веры в программу: почти нет
Что было найдено 🔍
Email Verification Bypass (CWE-287)
Система не требует подтверждения email для доступа к функционалу:
✅ Регистрация → сразу полный доступ
✅ Demo-баланс 3000₽
✅ Партнёрский статус
❌ Email не подтверждён
Severity: Medium
Expected bounty: $300-750 (~30-70k₽)
Impact:
• Email bombing attacks
• Массовые фейковые аккаунты
• Обход верификации личности
Статистика 📊
⏱ Времени потрачено: ~10 часов
✅ Найдено уязвимостей: 1 (Medium)
📝 Отправлено репортов: 1
💰 Получено: ₽0
😐 Настроение: разочарован
Главные выводы 💡
Что НЕ работает:
❌ Standalone программы без репутации
• Обещали ответ за 5 дней → прошло 13
• Нет подтверждения получения
• Нет accountability
❌ Гонка за большими выплатами
• “$5000 за Critical” звучит круто
• Но если не платят вообще — это $0
Что работает:
✅ Российские платформы и компании:
1. Standoff Bug Bounty (Positive Technologies)
• Русская платформа
• Адекватные сроки ответа
• Реальные выплаты в рублях
• Поддержка на русском
2. BI.ZONE Bug Bounty
• Проверенная платформа
• Работа с российскими компаниями
• Прозрачный процесс
3. Coordinated Disclosure Programs
• Сбер, Яндекс, VK, Тинькофф
• Не всегда платят, но отвечают
• Хороший опыт для портфолио
4. Западные платформы (с оговорками):
• HackerOne, Bugcrowd, Intigriti
• Проблемы с выводом в РФ (2025)
• Но можно работать через криптовалюту
Реальность Bug Bounty в России 2025 🇷🇺
Плюсы:
✅ Рублёвые выплаты (Standoff, BI.ZONE)
✅ Нет санкционных проблем
✅ Русскоязычная поддержка
✅ Понятное законодательство
Минусы:
❌ Меньше программ чем на западе
❌ Ниже средние выплаты
❌ Не все компании платят
Реальные цифры (2025):
• Medium bug: 20-50k₽
• High bug: 50-150k₽
• Critical bug: 150-500k₽
Уроки этого репорта 📚
Урок #1: Проверяй репутацию
Перед стартом гугли:
• Отзывы других исследователей
• Статистика выплат
• Response time
Урок #2: Диверсифицируй
Тестируй 2-3 цели параллельно. Одна игнорит — есть backup.
Урок #3: Платформы > standalone
Лучше Standoff/BI.ZONE с небольшими выплатами, чем standalone с “$5000” и молчанием.
Урок #4: Опыт дороже денег (пока)
Даже если не заплатят:
✅ Научился полному циклу Bug Bounty
✅ Знаю как писать репорты
✅ Понял как выбирать программы
Что дальше? 🚀
Если молчат ещё 2-3 дня:
• Закрываю эту цель
• Не трачу больше время
Следующие шаги:
• Standoff Bug Bounty
• BI.ZONE программы
• VDP крупных РФ компаний
Цель на ноябрь:
• 3-5 качественных репортов
• Хотя бы один paid bounty
• Фокус на проверенные программы
Советы начинающим 💡
DO ✅
• Начинай с Standoff/BI.ZONE
• Тестируй VDP программы для опыта
• Читай чаты баг-хантеров (Телеграм)
• Проверяй репутацию программ
DON’T ❌
• Не трать недели на непроверенные программы
• Не гонись за большими цифрами
• Не жди месяцами — двигайся дальше
Главное:
Один игнор не делает тебя плохим хакером. Это делает программу плохой. 😎
UPD: Follow-up отправлен. Даю 2-3 дня. Если молчание → следующая цель.
Вывод: Опыт получен. Двигаемся дальше. 💪
#BugBounty #InfoSec #RussianBugBounty #StandoffBugBounty #RealTalk
Media is too big
VIEW IN TELEGRAM
#blog
#llm
#5 AI Red Teaming как профессия — кто это, сколько платят, как попасть в эту сферу в 2025 году?
Привет, хакеры!
Сегодня поговорим о теме, которая сейчас на хайпе и будет только расти — AI Red Teaming. Если ты думал, что взлом сетей и веба — это потолок, то приготовься: мы отправляемся ломать мозги искусственному интеллекту.
#llm
#5 AI Red Teaming как профессия — кто это, сколько платят, как попасть в эту сферу в 2025 году?
Привет, хакеры!
Сегодня поговорим о теме, которая сейчас на хайпе и будет только расти — AI Red Teaming. Если ты думал, что взлом сетей и веба — это потолок, то приготовься: мы отправляемся ломать мозги искусственному интеллекту.
Здравствуйте, дорогие друзья!
🔥 Врываемся в мир кибербезопасности с МЕГА-АКЦИЕЙ! 🔥
Хотите стать профи в пентестинге и освоить навыки, которые принесут вам не только знания, но и реальный доход? Тогда это предложение для вас! Только сейчас — две мощные книги по пентесту за 2000 руб. вместо 3200 руб.! Сэкономьте 1200 руб. и шагните в профессию мечты! 💻
Что вы получите?
1. Электронная книга: «Профессия — Пентестер» (385 страниц)
🚀 Полный roadmap от новичка до эксперта в кибербезопасности!
Основы и продвинутые техники: от TCP/IP до атак на Wi-Fi, IoT и блокчейн.
Практика без воды: работа с Nmap, Metasploit, Burp Suite и другими топ-инструментами.
Реальные кейсы, советы по сертификациям (CEH, OSCP) и старту карьеры в bug bounty.
Актуальность 2025 года: свежие методы и тренды.
Эта книга — ваш проводник в мир этичного хакинга, где вы научитесь работать в рамках закона и строить успешную карьеру. Подходит как новичкам, так и опытным IT-специалистам!
2. Электронная книга: «Пентест из Подвала: от Recon до Shell» (120 страниц)
💥 Жёсткий и честный гид от практиков!
Реальный опыт: от бесшумной разведки до заливки шеллов и обхода защит (EDR, WAF).
Рабочие техники: SQLi, RCE, эскалация привилегий и социальная инженерия.
Без цензуры: трюки, шутки и истории из «подвала» для тех, кто готов ломать системы.
Бонус: советы по баг-баунти и монетизации навыков.
Эта книга — для тех, кто хочет не просто читать, а действовать. Стань охотником, а не жертвой!
Почему это выгодно?
Две книги за 2000 руб. вместо 3200 руб. — экономия 1200 руб.!
Максимум практики и реальных кейсов, минимум воды.
Навыки, которые помогут вам выделиться на рынке IT и кибербезопасности.
Акция действует 3 дня (с 7-го ноября, и по 9-е ноября) — не упустите шанс!
Как получить?
Пишите по контакту в телеграм: @timcore1
💣 Время действовать! Стань пентестером, о котором говорят, и зарабатывай на своих знаниях! Количество акционных наборов ограничено — успей забрать свой!
Содержание 1-й книги: https://timcourse.ru/courses/elektronnaya-kniga-professiya-pentester/
Содержание 2-й книги: https://timcourse.ru/courses/elektronnaya-kniga-pentest-iz-podvala-ot-recon-do-shell/
#кибербезопасность #пентест #хакерство #IT #обучение
🔥 Врываемся в мир кибербезопасности с МЕГА-АКЦИЕЙ! 🔥
Хотите стать профи в пентестинге и освоить навыки, которые принесут вам не только знания, но и реальный доход? Тогда это предложение для вас! Только сейчас — две мощные книги по пентесту за 2000 руб. вместо 3200 руб.! Сэкономьте 1200 руб. и шагните в профессию мечты! 💻
Что вы получите?
1. Электронная книга: «Профессия — Пентестер» (385 страниц)
🚀 Полный roadmap от новичка до эксперта в кибербезопасности!
Основы и продвинутые техники: от TCP/IP до атак на Wi-Fi, IoT и блокчейн.
Практика без воды: работа с Nmap, Metasploit, Burp Suite и другими топ-инструментами.
Реальные кейсы, советы по сертификациям (CEH, OSCP) и старту карьеры в bug bounty.
Актуальность 2025 года: свежие методы и тренды.
Эта книга — ваш проводник в мир этичного хакинга, где вы научитесь работать в рамках закона и строить успешную карьеру. Подходит как новичкам, так и опытным IT-специалистам!
2. Электронная книга: «Пентест из Подвала: от Recon до Shell» (120 страниц)
💥 Жёсткий и честный гид от практиков!
Реальный опыт: от бесшумной разведки до заливки шеллов и обхода защит (EDR, WAF).
Рабочие техники: SQLi, RCE, эскалация привилегий и социальная инженерия.
Без цензуры: трюки, шутки и истории из «подвала» для тех, кто готов ломать системы.
Бонус: советы по баг-баунти и монетизации навыков.
Эта книга — для тех, кто хочет не просто читать, а действовать. Стань охотником, а не жертвой!
Почему это выгодно?
Две книги за 2000 руб. вместо 3200 руб. — экономия 1200 руб.!
Максимум практики и реальных кейсов, минимум воды.
Навыки, которые помогут вам выделиться на рынке IT и кибербезопасности.
Акция действует 3 дня (с 7-го ноября, и по 9-е ноября) — не упустите шанс!
Как получить?
Пишите по контакту в телеграм: @timcore1
💣 Время действовать! Стань пентестером, о котором говорят, и зарабатывай на своих знаниях! Количество акционных наборов ограничено — успей забрать свой!
Содержание 1-й книги: https://timcourse.ru/courses/elektronnaya-kniga-professiya-pentester/
Содержание 2-й книги: https://timcourse.ru/courses/elektronnaya-kniga-pentest-iz-podvala-ot-recon-do-shell/
#кибербезопасность #пентест #хакерство #IT #обучение