🎯 ДНЕВНИК ХАКЕРА: Смена курса — ухожу в YandexGPT Bug Bounty
День 1. Суббота, 15 ноября 2025.
Сижу третий час с чаем, пересматриваю стратегию. Решил кардинально сменить таргет — и вот почему 🔄
🌍 Как всё начиналось: Huntr vs Реальность
Неделю назад изучал Huntr.com — первую в мире баг-баунти платформу для AI/ML. Программа по уязвимостям в форматах моделей (.keras, .safetensors, .gguf) выглядела сочно: $3-4k за RCE, специализация на MLflow, PyTorch, TensorFlow.
План был простой:
• Поднять MLflow в Docker
• Найти десериализацию в Keras Lambda layers
• Загрузить PoC на HuggingFace
• Забрать $4k 💰
Но наступил на грабли… 🔨
❌ Проблема #1: Санкции и выплаты
Полез в Terms of Service Huntr — и вот облом: платят только через Stripe Connect, который не работает с Россией с 2022 года.
Что предлагают:
• ✅ Можешь искать баги → получить CVE
• ❌ Деньги получить нельзя (предложат задонатить в благотворительность)
Варианты обхода:
1. Крипто — но Huntr не указывает это как метод, плюс ЕС с октября 2025 ввёл санкции на крипто-сервисы для РФ
2. Юрлицо в Армении/Казахстане — можно, но это затраты + налоги
3. Wise/Payoneer — ограничили РФ, риск блока аккаунта
Вывод: Huntr = CVE без денег. Для портфолио — да, для заработка — облом 💸❌
🔄 Разворот на 180°: Российские реалии
Решил копнуть, что есть в РФ по AI/ML. И охренел от того, что нашёл 🤯
Оказалось:
• Российский баг-баунти рынок взорвался: только за август 2024 — август 2025 выплатили 268,9 млн ₽
• Яндекс в апреле 2025 запустил первую в России программу для нейросетей: YandexGPT и YandexART
• Выплаты: до 1 млн ₽ за критические баги (prompt injection, data leakage, model manipulation)
• А за RCE в Яндекс.Почте и VM escape в Yandex Cloud — до 3 млн ₽
Платят на российские карты, никаких Stripe/PayPal/санкций. Оформляешься как самозанятый через “Мой налог” (5 минут), платишь 4-6% налога — и всё легально.
🎯 Почему YandexGPT? (3 причины)
1. Первопроходцы = низкая конкуренция
Программа запущена в апреле 2025 . Прошло всего 7 месяцев — пока толпа не набежала. Это как Huntr в 2023-м, когда там ещё можно было словить жирные баунти без драки за каждый репорт.
2. Специализация на том, что я знаю
Ищут технические уязвимости :
• Сбои в работе модели (adversarial inputs)
• Изменение поведения (model poisoning)
• Раскрытие служебных данных (prompt leakage, training data extraction)
• Prompt injection — мой конёк 🔥
Яндекс сам признал, что от prompt injection защититься гарантированно нельзя (как SQL injection, только хуже) . Значит, есть где развернуться.
3. Реальные деньги + карьера
• 1 млн ₽ за критический баг в нейросетях
• 3 млн ₽ за RCE в инфраструктуре (если найдёшь способ из YandexGPT API прорваться на хост)
• CVE в портфолио — Яндекс публикует в Зале Славы
• Легальность — работаешь как самозанятый, всё белое
🛠 Мой план атаки на YandexGPT
Фаза 1: Разведка (сегодня-завтра)
• Регистрация на https://yandex.ru/bugbounty
• Изучение скоупа: YandexGPT API, YandexART, интеграции в Алису/Браузер
• Читаю статью Яндекса про prompt injection в суммаризации — там уже намекают, куда копать
Фаза 2: Тестирование (3-5 дней)
• Prompt injection через пользовательский контент (например, в Яндекс.Браузере, где YandexGPT суммирует статьи)
• Jailbreak-техники для обхода фильтров модерации
• Data exfiltration — пытаюсь заставить модель выплюнуть служебные данные (system prompt, training data)
• Adversarial examples — если найду способ сломать классификаторы через специально подобранный ввод
Фаза 3: PoC и репорт (1-2 дня)
• Оформляю PoC (скрипт + видео)
• Заливаю на https://yandex.ru/bugbounty
• Жду проверку (обычно 30-45 дней)
Фаза 4: Масштабирование
День 1. Суббота, 15 ноября 2025.
Сижу третий час с чаем, пересматриваю стратегию. Решил кардинально сменить таргет — и вот почему 🔄
🌍 Как всё начиналось: Huntr vs Реальность
Неделю назад изучал Huntr.com — первую в мире баг-баунти платформу для AI/ML. Программа по уязвимостям в форматах моделей (.keras, .safetensors, .gguf) выглядела сочно: $3-4k за RCE, специализация на MLflow, PyTorch, TensorFlow.
План был простой:
• Поднять MLflow в Docker
• Найти десериализацию в Keras Lambda layers
• Загрузить PoC на HuggingFace
• Забрать $4k 💰
Но наступил на грабли… 🔨
❌ Проблема #1: Санкции и выплаты
Полез в Terms of Service Huntr — и вот облом: платят только через Stripe Connect, который не работает с Россией с 2022 года.
Что предлагают:
• ✅ Можешь искать баги → получить CVE
• ❌ Деньги получить нельзя (предложат задонатить в благотворительность)
Варианты обхода:
1. Крипто — но Huntr не указывает это как метод, плюс ЕС с октября 2025 ввёл санкции на крипто-сервисы для РФ
2. Юрлицо в Армении/Казахстане — можно, но это затраты + налоги
3. Wise/Payoneer — ограничили РФ, риск блока аккаунта
Вывод: Huntr = CVE без денег. Для портфолио — да, для заработка — облом 💸❌
🔄 Разворот на 180°: Российские реалии
Решил копнуть, что есть в РФ по AI/ML. И охренел от того, что нашёл 🤯
Оказалось:
• Российский баг-баунти рынок взорвался: только за август 2024 — август 2025 выплатили 268,9 млн ₽
• Яндекс в апреле 2025 запустил первую в России программу для нейросетей: YandexGPT и YandexART
• Выплаты: до 1 млн ₽ за критические баги (prompt injection, data leakage, model manipulation)
• А за RCE в Яндекс.Почте и VM escape в Yandex Cloud — до 3 млн ₽
Платят на российские карты, никаких Stripe/PayPal/санкций. Оформляешься как самозанятый через “Мой налог” (5 минут), платишь 4-6% налога — и всё легально.
🎯 Почему YandexGPT? (3 причины)
1. Первопроходцы = низкая конкуренция
Программа запущена в апреле 2025 . Прошло всего 7 месяцев — пока толпа не набежала. Это как Huntr в 2023-м, когда там ещё можно было словить жирные баунти без драки за каждый репорт.
2. Специализация на том, что я знаю
Ищут технические уязвимости :
• Сбои в работе модели (adversarial inputs)
• Изменение поведения (model poisoning)
• Раскрытие служебных данных (prompt leakage, training data extraction)
• Prompt injection — мой конёк 🔥
Яндекс сам признал, что от prompt injection защититься гарантированно нельзя (как SQL injection, только хуже) . Значит, есть где развернуться.
3. Реальные деньги + карьера
• 1 млн ₽ за критический баг в нейросетях
• 3 млн ₽ за RCE в инфраструктуре (если найдёшь способ из YandexGPT API прорваться на хост)
• CVE в портфолио — Яндекс публикует в Зале Славы
• Легальность — работаешь как самозанятый, всё белое
🛠 Мой план атаки на YandexGPT
Фаза 1: Разведка (сегодня-завтра)
• Регистрация на https://yandex.ru/bugbounty
• Изучение скоупа: YandexGPT API, YandexART, интеграции в Алису/Браузер
• Читаю статью Яндекса про prompt injection в суммаризации — там уже намекают, куда копать
Фаза 2: Тестирование (3-5 дней)
• Prompt injection через пользовательский контент (например, в Яндекс.Браузере, где YandexGPT суммирует статьи)
• Jailbreak-техники для обхода фильтров модерации
• Data exfiltration — пытаюсь заставить модель выплюнуть служебные данные (system prompt, training data)
• Adversarial examples — если найду способ сломать классификаторы через специально подобранный ввод
Фаза 3: PoC и репорт (1-2 дня)
• Оформляю PoC (скрипт + видео)
• Заливаю на https://yandex.ru/bugbounty
• Жду проверку (обычно 30-45 дней)
Фаза 4: Масштабирование
💡 Чему научился за эти сутки
1. Санкции — это реальность
Зарубежные платформы (Huntr, HackerOne, Bugcrowd) — геморрой с выплатами. Stripe/PayPal не работают, Wise/Payoneer блокируют.
2. Российский рынок недооценён
Выплаты выше, чем на Западе (3 млн ₽ = ~$30k по текущему курсу), конкуренция ниже, легальность проще.
3. AI/ML баг-баунти — голубой океан
Пока мало кто умеет хантить нейросети. Яндекс первым запустил программу в РФ, через полгода могут подтянуться Сбер, VK, Тинькофф.
🔥 Выводы для тех, кто тоже думает
Если ты в России:
• Забей на Huntr (CVE получишь, но денег — нет)
• Иди на Standoff 365 / Яндекс — платят на карты РФ, легально, выплаты выше
Если хочешь в AI/ML:
• YandexGPT — лучший старт (низкая конкуренция, до 1 млн ₽)
• Prompt injection — низкий порог входа (не нужен reverse engineering, только креатив)
Если есть юрлицо за границей:
• Можешь попробовать Huntr через Stripe (Армения/Казахстан/ОАЭ)
• Но проще всё равно российские программы
Завтра начинаю ломать YandexGPT. Буду постить апдейты по мере продвижения — интересно, сколько займёт первый баг 🤔
Stay tuned, будет жарко 🔥💻
#BugBounty #YandexGPT #YandexART #PromptInjection #AISecuriry #ДневникХакера #БелыеХакеры #Яндекс #СамозанятыйХакер #КиберБезопасность2025
P.S. Для тех, кто хочет попробовать:
🔹 Регистрация: https://yandex.ru/bugbounty 🔹 Оформление самозанятости: приложение “Мой налог” (5 минут)
🔹 Изучить prompt injection: https://github.com/FonduAI/awesome-prompt-injection
Погнали ломать нейросети! 🚀🤖
1. Санкции — это реальность
Зарубежные платформы (Huntr, HackerOne, Bugcrowd) — геморрой с выплатами. Stripe/PayPal не работают, Wise/Payoneer блокируют.
2. Российский рынок недооценён
Выплаты выше, чем на Западе (3 млн ₽ = ~$30k по текущему курсу), конкуренция ниже, легальность проще.
3. AI/ML баг-баунти — голубой океан
Пока мало кто умеет хантить нейросети. Яндекс первым запустил программу в РФ, через полгода могут подтянуться Сбер, VK, Тинькофф.
🔥 Выводы для тех, кто тоже думает
Если ты в России:
• Забей на Huntr (CVE получишь, но денег — нет)
• Иди на Standoff 365 / Яндекс — платят на карты РФ, легально, выплаты выше
Если хочешь в AI/ML:
• YandexGPT — лучший старт (низкая конкуренция, до 1 млн ₽)
• Prompt injection — низкий порог входа (не нужен reverse engineering, только креатив)
Если есть юрлицо за границей:
• Можешь попробовать Huntr через Stripe (Армения/Казахстан/ОАЭ)
• Но проще всё равно российские программы
Завтра начинаю ломать YandexGPT. Буду постить апдейты по мере продвижения — интересно, сколько займёт первый баг 🤔
Stay tuned, будет жарко 🔥💻
#BugBounty #YandexGPT #YandexART #PromptInjection #AISecuriry #ДневникХакера #БелыеХакеры #Яндекс #СамозанятыйХакер #КиберБезопасность2025
P.S. Для тех, кто хочет попробовать:
🔹 Регистрация: https://yandex.ru/bugbounty 🔹 Оформление самозанятости: приложение “Мой налог” (5 минут)
🔹 Изучить prompt injection: https://github.com/FonduAI/awesome-prompt-injection
Погнали ломать нейросети! 🚀🤖
🔥 Темная сторона баг-баунти Яндекса: когда баги принимают, а деньги не платят
Коллеги, давайте поговорим о том, о чем многие предпочитают молчать — о проблемах с программой “Охота за ошибками” от Яндекса. За последние годы накопилось немало жалоб от багхантеров, которые столкнулись с отказами в выплатах при том, что их уязвимости были приняты и исправлены 😤
Что происходит?
По данным из открытых источников, исследователи сталкиваются с несколькими типичными проблемами:
Проблема 1: “Баг не входит в scope программы”
Классический случай — исследователь нашел реальную уязвимость (например, незащищенный API-ключ на миллион рублей в год), потратил время на составление отчета, а в ответ получил: “К сожалению, это не входит в рамки программы”. При этом уязвимость реальная, баг подтвержден, но выплаты не будет. Исследователя максимум добавят в “Зал славы” — без копейки вознаграждения.
Проблема 2: Произвольная классификация багов
Яндекс может произвольно реклассифицировать найденную уязвимость. То, что по OWASP Top-10 является критичным багом (Broken Authentication, Broken Access Control, Security Misconfiguration), вдруг становится “отсутствием лимитов на использование API” и не подлежит оплате.
Проблема 3: Долгое игнорирование
Некоторые багрепорты висят месяцами без ответа. Исследователь ждет два месяца, уязвимость наконец исправляют, но отказывают в выплате, ссылаясь на то, что “баг уже был известен внутренним командам”. При этом никаких доказательств не предоставляется.
Проблема 4: Непрозрачность оценки
На российских баг-баунти площадках (включая программы Яндекса) исследователи постоянно жалуются на непрозрачность оценки критичности. Ты не можешь предсказать размер выплаты, даже зная диапазон. Критичность определяется “по внутренним метрикам компании”, с которыми не поспоришь.
Статистика vs реальность
При этом Яндекс активно PR-ит свою программу:
• В 2024 году выплатили 50,8 млн рублей
• Максимальные выплаты достигают 3 млн рублей
• Один исследователь получил 5,9 млн за 28 отчетов
Звучит красиво, правда? Но вот что остается за кадром:
• Медиана выплат на российских площадках — около 20 тыс. руб
• Багхантеры “не защищены при оценке критичности багов”
• Реальность скриншотов и “внутренних метрик” проверить невозможно
• Некоторые вендоры просто игнорируют сообщения исследователей
Что это значит для индустрии?
Такие истории подрывают доверие к баг-баунти программам в целом. Когда исследователь тратит время и находит реальную проблему, а компания отказывается платить по формальным причинам — это демотивирует всё сообщество.
Результат? Багхантеры начинают избегать программы с плохой репутацией. А некоторые критичные уязвимости могут вообще не найти — или найдут те, кто продаст их на черном рынке вместо белого баг-баунти.
Что нужно изменить? 💡
Российским баг-баунти площадкам (и Яндексу в частности) стоит:
1. Внедрить рейтинг вендоров с открытой обратной связью
2. Показывать метрики: скорость ответа, время выплат, качество триажа
3. Сделать оценку критичности более прозрачной
4. Предоставлять доказательства при отклонении багов как дубликатов
5. Не заставлять ждать выплаты до “устранения уязвимости” неопределенный срок
Итог
Не хочу сказать, что все плохо — программа “Охота за ошибками” действительно работает и платит. Но проблемы есть, и о них нужно говорить открыто. Только конструктивная критика и общественное давление помогут сделать баг-баунти в России прозрачнее и честнее 🎯
#bugbounty #кибербезопасность #яндекс #багбаунти #whitehacking #infosec #россия
Коллеги, давайте поговорим о том, о чем многие предпочитают молчать — о проблемах с программой “Охота за ошибками” от Яндекса. За последние годы накопилось немало жалоб от багхантеров, которые столкнулись с отказами в выплатах при том, что их уязвимости были приняты и исправлены 😤
Что происходит?
По данным из открытых источников, исследователи сталкиваются с несколькими типичными проблемами:
Проблема 1: “Баг не входит в scope программы”
Классический случай — исследователь нашел реальную уязвимость (например, незащищенный API-ключ на миллион рублей в год), потратил время на составление отчета, а в ответ получил: “К сожалению, это не входит в рамки программы”. При этом уязвимость реальная, баг подтвержден, но выплаты не будет. Исследователя максимум добавят в “Зал славы” — без копейки вознаграждения.
Проблема 2: Произвольная классификация багов
Яндекс может произвольно реклассифицировать найденную уязвимость. То, что по OWASP Top-10 является критичным багом (Broken Authentication, Broken Access Control, Security Misconfiguration), вдруг становится “отсутствием лимитов на использование API” и не подлежит оплате.
Проблема 3: Долгое игнорирование
Некоторые багрепорты висят месяцами без ответа. Исследователь ждет два месяца, уязвимость наконец исправляют, но отказывают в выплате, ссылаясь на то, что “баг уже был известен внутренним командам”. При этом никаких доказательств не предоставляется.
Проблема 4: Непрозрачность оценки
На российских баг-баунти площадках (включая программы Яндекса) исследователи постоянно жалуются на непрозрачность оценки критичности. Ты не можешь предсказать размер выплаты, даже зная диапазон. Критичность определяется “по внутренним метрикам компании”, с которыми не поспоришь.
Статистика vs реальность
При этом Яндекс активно PR-ит свою программу:
• В 2024 году выплатили 50,8 млн рублей
• Максимальные выплаты достигают 3 млн рублей
• Один исследователь получил 5,9 млн за 28 отчетов
Звучит красиво, правда? Но вот что остается за кадром:
• Медиана выплат на российских площадках — около 20 тыс. руб
• Багхантеры “не защищены при оценке критичности багов”
• Реальность скриншотов и “внутренних метрик” проверить невозможно
• Некоторые вендоры просто игнорируют сообщения исследователей
Что это значит для индустрии?
Такие истории подрывают доверие к баг-баунти программам в целом. Когда исследователь тратит время и находит реальную проблему, а компания отказывается платить по формальным причинам — это демотивирует всё сообщество.
Результат? Багхантеры начинают избегать программы с плохой репутацией. А некоторые критичные уязвимости могут вообще не найти — или найдут те, кто продаст их на черном рынке вместо белого баг-баунти.
Что нужно изменить? 💡
Российским баг-баунти площадкам (и Яндексу в частности) стоит:
1. Внедрить рейтинг вендоров с открытой обратной связью
2. Показывать метрики: скорость ответа, время выплат, качество триажа
3. Сделать оценку критичности более прозрачной
4. Предоставлять доказательства при отклонении багов как дубликатов
5. Не заставлять ждать выплаты до “устранения уязвимости” неопределенный срок
Итог
Не хочу сказать, что все плохо — программа “Охота за ошибками” действительно работает и платит. Но проблемы есть, и о них нужно говорить открыто. Только конструктивная критика и общественное давление помогут сделать баг-баунти в России прозрачнее и честнее 🎯
#bugbounty #кибербезопасность #яндекс #багбаунти #whitehacking #infosec #россия
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#iot
#router
Собираем коллекцию уязвимых прошивок для тренировки
Слушай, хочешь по-настоящему прокачаться в поиске уязвимостей IoT и роутеров? Тогда тебе нужна своя коллекция уязвимых прошивок для практики. Это как тренажерка для хакера — безопасная песочница, где можно ломать, не боясь последствий.
Подробнее: https://timrobot.ru/sobiraem-kollekcziyu-uyazvimyh-proshivok-dlya-trenirovki/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#router
Собираем коллекцию уязвимых прошивок для тренировки
Слушай, хочешь по-настоящему прокачаться в поиске уязвимостей IoT и роутеров? Тогда тебе нужна своя коллекция уязвимых прошивок для практики. Это как тренажерка для хакера — безопасная песочница, где можно ломать, не боясь последствий.
Подробнее: https://timrobot.ru/sobiraem-kollekcziyu-uyazvimyh-proshivok-dlya-trenirovki/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
Собираем коллекцию уязвимых прошивок для тренировки - Разработка роботов и эксплойтов
Слушай, хочешь по-настоящему прокачаться в поиске уязвимостей IoT и роутеров? Тогда тебе нужна своя коллекция уязвимых прошивок для практики. Это как тренажерка для хакера — безопасная песочница, где можно ломать, не боясь последствий.
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#ctf
#thm
#htb
CTF для саморазвития: как использовать Hack The Box и TryHackMe для прокачки
CTF-платформы типа Hack The Box и TryHackMe — это твой личный полигон для прокачки скиллов в эксплуатации и пост-эксплуатации . Они дают тебе реалистичные сценарии взлома без риска получить по шапке за реальный хакинг. Правильный подход к решению задач на этих платформах превратит тебя из новичка в профи.
Подробнее: https://timrobot.ru/ctf-dlya-samorazvitiya-kak-ispolzovat-hack-the-box-i-tryhackme-dlya-prokachki/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#thm
#htb
CTF для саморазвития: как использовать Hack The Box и TryHackMe для прокачки
CTF-платформы типа Hack The Box и TryHackMe — это твой личный полигон для прокачки скиллов в эксплуатации и пост-эксплуатации . Они дают тебе реалистичные сценарии взлома без риска получить по шапке за реальный хакинг. Правильный подход к решению задач на этих платформах превратит тебя из новичка в профи.
Подробнее: https://timrobot.ru/ctf-dlya-samorazvitiya-kak-ispolzovat-hack-the-box-i-tryhackme-dlya-prokachki/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
CTF для саморазвития: как использовать Hack The Box и TryHackMe для прокачки - Разработка роботов и эксплойтов
CTF-платформы типа Hack The Box и TryHackMe — это твой личный полигон для прокачки скиллов в эксплуатации и пост-эксплуатации . Они дают тебе реалистичные сценарии взлома без риска получить по шапке за реальный хакинг. Правильный подход к решению задач на…
#forensics
Анти-форензика: как преступники прячут следы (и как мы их всё равно находим)
Каждый раз, когда в новостях говорят про очередного кибер-гения, который «не оставил следов», я усмехаюсь. Следы есть всегда. Вопрос лишь в том, насколько глубоко они зарыты и хватит ли у специалиста терпения, инструментов и чая, чтобы до них докопаться. Анти-форензика — это не магия, а набор методов, направленных на одно: помешать нам, криминалистам, делать свою работу.
Подробнее: https://timforensics.ru/anti-forenzika-kak-prestupniki-pryachut-sledy-i-kak-my-ih-vsyo-ravno-nahodim/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Анти-форензика: как преступники прячут следы (и как мы их всё равно находим)
Каждый раз, когда в новостях говорят про очередного кибер-гения, который «не оставил следов», я усмехаюсь. Следы есть всегда. Вопрос лишь в том, насколько глубоко они зарыты и хватит ли у специалиста терпения, инструментов и чая, чтобы до них докопаться. Анти-форензика — это не магия, а набор методов, направленных на одно: помешать нам, криминалистам, делать свою работу.
Подробнее: https://timforensics.ru/anti-forenzika-kak-prestupniki-pryachut-sledy-i-kak-my-ih-vsyo-ravno-nahodim/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Анти-форензика: как преступники прячут следы (и как мы их всё равно находим) | Форензика
Каждый раз, когда в новостях говорят про очередного кибер-гения, который «не оставил следов», я усмехаюсь. Следы есть всегда. Вопрос лишь в том, насколько
#forensics
Алиби по пульсу: что могут рассказать фитнес-трекеры и умные часы
В мире цифровой криминалистики мы привыкли копаться в жестких дисках и логах серверов. Но в последние годы самый интересный источник данных перекочевал прямо на тело человека. Фитнес-браслеты и умные часы — это не просто гаджеты. Это персональные «чёрные ящики», которые с пугающей точностью записывают историю жизни своего владельца. И когда эта история расходится с официальными показаниями, начинается самое интересное.
Подробнее: https://timforensics.ru/alibi-po-pulsu-chto-mogut-rasskazat-fitnes-trekery-i-umnye-chasy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Алиби по пульсу: что могут рассказать фитнес-трекеры и умные часы
В мире цифровой криминалистики мы привыкли копаться в жестких дисках и логах серверов. Но в последние годы самый интересный источник данных перекочевал прямо на тело человека. Фитнес-браслеты и умные часы — это не просто гаджеты. Это персональные «чёрные ящики», которые с пугающей точностью записывают историю жизни своего владельца. И когда эта история расходится с официальными показаниями, начинается самое интересное.
Подробнее: https://timforensics.ru/alibi-po-pulsu-chto-mogut-rasskazat-fitnes-trekery-i-umnye-chasy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Алиби по пульсу: что могут рассказать фитнес-трекеры и умные часы | Форензика
В мире цифровой криминалистики мы привыкли копаться в жестких дисках и логах серверов. Но в последние годы самый интересный источник данных перекочевал
Книга: «Все об уязвимости XSS». Глава 4. Классические векторы атаки 💉 •
Если бы у XSS был свой пантеон богов, то тег <script> занимал бы в нём место Зевса. Это прародитель, альфа и омега, тот самый OG (Original Gangster) из мира веб-уязвимостей. Все эти новомодные onerror , <svg> , DOM Clobbering — это его дети и внуки. Но, как и с хорошим виски или старым рок-н-роллом, классика не стареет. И сегодня, в 2025 году, грамотно вставленный тег <script> всё так же способен положить на лопатки самые навороченные веб-приложения. Давай разберём, почему этот старичок до сих пор в строю и как заставить его работать на тебя.
https://vk.com/@hacker_timcore-kniga-vse-ob-uyazvimosti-xss-glava-4-klassicheskie-vektory-a
#books #xss #blog
<script> тэги: олдскульная классикаЕсли бы у XSS был свой пантеон богов, то тег <script> занимал бы в нём место Зевса. Это прародитель, альфа и омега, тот самый OG (Original Gangster) из мира веб-уязвимостей. Все эти новомодные onerror , <svg> , DOM Clobbering — это его дети и внуки. Но, как и с хорошим виски или старым рок-н-роллом, классика не стареет. И сегодня, в 2025 году, грамотно вставленный тег <script> всё так же способен положить на лопатки самые навороченные веб-приложения. Давай разберём, почему этот старичок до сих пор в строю и как заставить его работать на тебя.
https://vk.com/@hacker_timcore-kniga-vse-ob-uyazvimosti-xss-glava-4-klassicheskie-vektory-a
#books #xss #blog
VK
Книга: «Все об уязвимости XSS». Глава 4. Классические векторы атаки 💉 • `<script>` тэги: олдскульная классика
Если бы у XSS был свой пантеон богов, то тег <script> занимал бы в нём место Зевса. Это прародитель, альфа и омега, тот самый OG (O..
#gemini3pro
Вышла Gemini 3 Pro: новая эра искусственного интеллекта от Google
Google представила Gemini 3 Pro — свою самую мощную и интеллектуальную языковую модель, которая станет началом нового этапа развития искусственного интеллекта компании. Модель доступна уже сегодня в режиме превью для всех желающих, а также для подписчиков Google AI Pro и Ultra в поиске Google, для разработчиков в API и различных платформах Google.
Подробнее: https://timneuro.ru/vyshla-gemini-3-pro-novaya-era-iskusstvennogo-intellekta-ot-google/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Вышла Gemini 3 Pro: новая эра искусственного интеллекта от Google
Google представила Gemini 3 Pro — свою самую мощную и интеллектуальную языковую модель, которая станет началом нового этапа развития искусственного интеллекта компании. Модель доступна уже сегодня в режиме превью для всех желающих, а также для подписчиков Google AI Pro и Ultra в поиске Google, для разработчиков в API и различных платформах Google.
Подробнее: https://timneuro.ru/vyshla-gemini-3-pro-novaya-era-iskusstvennogo-intellekta-ot-google/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Нейро Мастер
Вышла Gemini 3 Pro: новая эра искусственного интеллекта от Google — Нейро Мастер
Главная / Блог / Вышла Gemini 3 Pro: новая эра искусственного интеллекта от Google Вышла Gemini 3 Pro: новая эра искусственного интеллекта от Google
🩸 Дневник Хакера: FIRST BLOOD!
20.11.2025
Помните ту историю с Bug Bounty, где я уже думал забить из-за игнора? Так вот… ОНИ ЗАПЛАТИЛИ! 💵🥳
⚡️ Ситуация
Я ждал ответа 2 недели. Отправил вежливый “пинок” (follow-up). И сегодня прилетело письмо счастья!
🎯 Результат (под NDA, без имён)
✅ Уязвимость: Подтверждена! (Логическая ошибка в регистрации) ✅ Статус: Paid 💰 Bounty: $150
📉 Ожидание vs Реальность
Я оценивал баг как Medium ($300-750), потому что impact реальный. Вендор оценил как Low ($150).
Их аргумент: “Это сделано для повышения конверсии, но спасибо, что подсветили риски” 😅 Классика! “Это не баг, это фича для бизнеса”. Но платить пришлось, потому что я доказал, как это можно абузить.
🧠 Выводы
1. Настойчивость решает. Если бы я не отправил follow-up, репорт бы так и висел в “игноре”.
2. Downgrade — это норма. Компании всегда стараются занизить критичность, чтобы сэкономить. Не расстраиваемся, берем деньги и опыт.
3. Система работает. Я нашел дыру, зарепортил, получил кэш. Цикл замкнулся!
🚀 Что дальше?
$150 — это приятно (на пиццу и травяной чай хватит 🍕), но главное — я теперь верифицированный хантер в их программе. У них есть деньги, и они платят.
Теперь я знаю их логику. Иду искать Critical уязвимости, там бюджеты уже поинтереснее ($1500+).
P.S. Первый пейчек — он как первая любовь. Запоминается навсегда! 😎
#BugBounty #InfoSec #FirstBlood #BountyHunter #CyberSecurity #Победа #ДневникХакера
20.11.2025
Помните ту историю с Bug Bounty, где я уже думал забить из-за игнора? Так вот… ОНИ ЗАПЛАТИЛИ! 💵🥳
⚡️ Ситуация
Я ждал ответа 2 недели. Отправил вежливый “пинок” (follow-up). И сегодня прилетело письмо счастья!
🎯 Результат (под NDA, без имён)
✅ Уязвимость: Подтверждена! (Логическая ошибка в регистрации) ✅ Статус: Paid 💰 Bounty: $150
📉 Ожидание vs Реальность
Я оценивал баг как Medium ($300-750), потому что impact реальный. Вендор оценил как Low ($150).
Их аргумент: “Это сделано для повышения конверсии, но спасибо, что подсветили риски” 😅 Классика! “Это не баг, это фича для бизнеса”. Но платить пришлось, потому что я доказал, как это можно абузить.
🧠 Выводы
1. Настойчивость решает. Если бы я не отправил follow-up, репорт бы так и висел в “игноре”.
2. Downgrade — это норма. Компании всегда стараются занизить критичность, чтобы сэкономить. Не расстраиваемся, берем деньги и опыт.
3. Система работает. Я нашел дыру, зарепортил, получил кэш. Цикл замкнулся!
🚀 Что дальше?
$150 — это приятно (на пиццу и травяной чай хватит 🍕), но главное — я теперь верифицированный хантер в их программе. У них есть деньги, и они платят.
Теперь я знаю их логику. Иду искать Critical уязвимости, там бюджеты уже поинтереснее ($1500+).
P.S. Первый пейчек — он как первая любовь. Запоминается навсегда! 😎
#BugBounty #InfoSec #FirstBlood #BountyHunter #CyberSecurity #Победа #ДневникХакера
Книга: «Все об уязвимости XSS». Глава 4. Классические векторы атаки 💉 • Event handlers: onerror , onload , onmouseover — твои лучшие друзья
Если тег <script> — это прямой удар в челюсть, то event handlers — это удар ножом в спину в тёмном переулке. Тихий, незаметный и смертельно эффективный. Когда WAF блокирует слово script , когда CSP запрещает инлайн-скрипты (иногда криво настроенный), когда фильтры вырезают < и > — именно обработчики событий (event handlers) становятся твоим главным оружием.
Подробнее: https://vk.com/@hacker_timcore-kniga-vs-ob-uyazvimosti-xss-glava-4-klassicheskie-vektory-a
#blog #xss #books
Если тег <script> — это прямой удар в челюсть, то event handlers — это удар ножом в спину в тёмном переулке. Тихий, незаметный и смертельно эффективный. Когда WAF блокирует слово script , когда CSP запрещает инлайн-скрипты (иногда криво настроенный), когда фильтры вырезают < и > — именно обработчики событий (event handlers) становятся твоим главным оружием.
Подробнее: https://vk.com/@hacker_timcore-kniga-vs-ob-uyazvimosti-xss-glava-4-klassicheskie-vektory-a
#blog #xss #books
VK
Книга: «Все об уязвимости XSS». Глава 4. Классические векторы атаки 💉 • Event handlers: onerror , onload , onmouseover — твои лучшие…
Если тег <script> — это прямой удар в челюсть, то event handlers — это удар ножом в спину в тёмном переулке. Тихий, незаметный и см..
🎓 С чего начать в баг-хантинге: roadmap от нуля до первого bounty
Привет, будущие хакеры! 💻 Вижу, ты устал смотреть на YouTube видосы “Как стать хакером за 24 часа” и решил реально въехать в bug bounty? Красавчик!
Сразу жёсткая правда:
• Первый bounty придёт НЕ через неделю (скорее через 3-6 месяцев)
• Потратишь минимум ₽50k на инструменты и обучение
• Первые 2-3 месяца будешь находить только дубликаты (это норма!)
• НО если не сольёшься, через год будешь в топ-10% и кэшить ₽300k+/месяц
https://vk.com/@hacker_timcore-s-chego-nachat-v-bag-hantinge-roadmap-ot-nulya-do-pervogo-b
#дневникхакера #bugbounty #roadmap #какначать #обучениехакингу #этичныйхакинг #bugbountytips #новичкам #кибербезопасность #первыйбаунти #учимсяхакингу #webскюрити
Привет, будущие хакеры! 💻 Вижу, ты устал смотреть на YouTube видосы “Как стать хакером за 24 часа” и решил реально въехать в bug bounty? Красавчик!
Сразу жёсткая правда:
• Первый bounty придёт НЕ через неделю (скорее через 3-6 месяцев)
• Потратишь минимум ₽50k на инструменты и обучение
• Первые 2-3 месяца будешь находить только дубликаты (это норма!)
• НО если не сольёшься, через год будешь в топ-10% и кэшить ₽300k+/месяц
https://vk.com/@hacker_timcore-s-chego-nachat-v-bag-hantinge-roadmap-ot-nulya-do-pervogo-b
#дневникхакера #bugbounty #roadmap #какначать #обучениехакингу #этичныйхакинг #bugbountytips #новичкам #кибербезопасность #первыйбаунти #учимсяхакингу #webскюрити
VK
🎓 С чего начать в баг-хантинге: roadmap от нуля до первого bounty
Привет, будущие хакеры! 💻 Вижу, ты устал смотреть на YouTube видосы “Как стать хакером за 24 часа” и решил реально въехать в bug bounty?..
🔍 Три месяца в баг-хантинге: как я заработал 120к и не сошёл с ума
Всем привет! 💻 Решил поделиться своим опытом в активном баг-хантинге. Три месяца назад я перешёл от теории к практике, и вот что из этого вышло.
📊 Статистика без прикрас
За 3 месяца я отправил 16 репортов:
• ✅ 3 оплаченных бага (2 low, 1 high)
• 📄 11 информационных (да, я знаю, что это боль)
• 🔄 1 дубликат (кто-то меня опередил на 2 дня, зашквар 😤)
Выплаты:
• Первый low: 5,000₽ 💸
• Второй low: 15,000₽ (уже веселее!)
• High-severity: 100,000₽ 🔥💰
Итого: 120,000 рублей за три месяца активного грина.
💣 Что я понял за это время
1. Информативы — это норма, не провал
11 информационных багов — это не “я лох”, а “я копаю глубже, чем нужно для оплаты”. Каждый infoбаг — это +1 к пониманию архитектуры таргета. Да, они не платят, но они учат.
2. High-баг не приходит случайно
Моя сотка не была везением. Это был результат двух недель изучения одной цели: я смотрел каждый эндпоинт, каждый параметр, каждую логику. Когда нашёл уязвимость — сразу понял, что это high. WAF думал, что он умный, но я знал больше 😎
3. Дубликаты — часть игры
Когда увидел “duplicate” в статусе репорта, я был зол. Но потом понял: это значит, что я мыслю в правильном направлении. Если кто-то нашёл это раньше — значит, баг реальный, и я на верном пути 🎯
🔧 Мой стек и подход
• Burp Suite Pro — мой лучший друг (без него никуда)
• Nuclei — для быстрой разведки
• Custom scripts — Python + bash для автоматизации рутины
• Терпение — самый недооценённый инструмент в баг-хантинге
Мой принцип: лучше потратить 3 дня на одну цель и найти high, чем неделю гриндить low-баги на разных программах.
🚀 Что дальше?
Следующая цель — поймать critical. Я уже вижу несколько потенциальных векторов на новых таргетах, так что продолжаю копать 🔍
Если ты только думаешь начать — не бойся информативов и дубликатов. Это часть пути к первой сотке 💰
#bugbounty #ethicalhacking #cybersecurity #bugbountyhunter #infosec
Всем привет! 💻 Решил поделиться своим опытом в активном баг-хантинге. Три месяца назад я перешёл от теории к практике, и вот что из этого вышло.
📊 Статистика без прикрас
За 3 месяца я отправил 16 репортов:
• ✅ 3 оплаченных бага (2 low, 1 high)
• 📄 11 информационных (да, я знаю, что это боль)
• 🔄 1 дубликат (кто-то меня опередил на 2 дня, зашквар 😤)
Выплаты:
• Первый low: 5,000₽ 💸
• Второй low: 15,000₽ (уже веселее!)
• High-severity: 100,000₽ 🔥💰
Итого: 120,000 рублей за три месяца активного грина.
💣 Что я понял за это время
1. Информативы — это норма, не провал
11 информационных багов — это не “я лох”, а “я копаю глубже, чем нужно для оплаты”. Каждый infoбаг — это +1 к пониманию архитектуры таргета. Да, они не платят, но они учат.
2. High-баг не приходит случайно
Моя сотка не была везением. Это был результат двух недель изучения одной цели: я смотрел каждый эндпоинт, каждый параметр, каждую логику. Когда нашёл уязвимость — сразу понял, что это high. WAF думал, что он умный, но я знал больше 😎
3. Дубликаты — часть игры
Когда увидел “duplicate” в статусе репорта, я был зол. Но потом понял: это значит, что я мыслю в правильном направлении. Если кто-то нашёл это раньше — значит, баг реальный, и я на верном пути 🎯
🔧 Мой стек и подход
• Burp Suite Pro — мой лучший друг (без него никуда)
• Nuclei — для быстрой разведки
• Custom scripts — Python + bash для автоматизации рутины
• Терпение — самый недооценённый инструмент в баг-хантинге
Мой принцип: лучше потратить 3 дня на одну цель и найти high, чем неделю гриндить low-баги на разных программах.
🚀 Что дальше?
Следующая цель — поймать critical. Я уже вижу несколько потенциальных векторов на новых таргетах, так что продолжаю копать 🔍
Если ты только думаешь начать — не бойся информативов и дубликатов. Это часть пути к первой сотке 💰
#bugbounty #ethicalhacking #cybersecurity #bugbountyhunter #infosec
🔮 Тренды в кибербезе: что будут ломать в 2026
Привет, хакеры! 💻 Каждый год появляются новые технологии, а с ними — новые дыры. Я проанализировал рынок, и вот мои предсказания: что будет гореть в 2026 и где самые жирные баунти.
Дисклеймер: Это не хрустальный шар, а анализ текущих трендов + мой опыт. Но будь уверен — кто первым освоит эти направления, тот сорвёт джекпот. 💰
https://vk.com/@hacker_timcore-trendy-v-kiberbeze-chto-budut-lomat-v-2026
#дневникхакера #bugbounty #тренды2026 #кибербезопасность #AIsecurity #web3 #cloudsecurity #IoT #ethicalhacking #futureofhacking #bugbountytips #prediction #cybersecuritytrends
Привет, хакеры! 💻 Каждый год появляются новые технологии, а с ними — новые дыры. Я проанализировал рынок, и вот мои предсказания: что будет гореть в 2026 и где самые жирные баунти.
Дисклеймер: Это не хрустальный шар, а анализ текущих трендов + мой опыт. Но будь уверен — кто первым освоит эти направления, тот сорвёт джекпот. 💰
https://vk.com/@hacker_timcore-trendy-v-kiberbeze-chto-budut-lomat-v-2026
#дневникхакера #bugbounty #тренды2026 #кибербезопасность #AIsecurity #web3 #cloudsecurity #IoT #ethicalhacking #futureofhacking #bugbountytips #prediction #cybersecuritytrends
VK
🔮 Тренды в кибербезе: что будут ломать в 2026
Привет, хакеры! 💻 Каждый год появляются новые технологии, а с ними — новые дыры. Я проанализировал рынок, и вот мои предсказания: что буд..
#blog
#anonymity
Анонимна ли социальная сеть ВКонтакте? (Спойлер: нет, братан)
Здравствуйте, дорогие друзья.
ВКонтакте — это не соцсеть, а цифровой СИЗО с лайками. Вот что палит тебя еще до первого поста:
• Регистрация по номеру телефона — привязка к SIM, а значит к паспорту. Даже если купил «левую» карту, операторы логируют SMS-верификацию с геолокацией вышек.
• IP-логи — каждый вход записывается в базу. ВК знает, с какого провайдера, города и даже WiFi-точки ты заходил.
• Браузерный фингерпринт — Canvas, WebGL, шрифты, разрешение экрана. Даже через "сервис на три буквы" тебя вычислят по уникальному отпечатку браузера.
• Cookies и трекеры — пиксели VK ID торчат на половине рунета. Ходишь по сайтам? ВК строит профиль интересов.
Подробнее: https://timcore.ru/2025/11/23/anonimna-li-socialnaja-set-vkontakte-spojler-net-bratan/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#anonymity
Анонимна ли социальная сеть ВКонтакте? (Спойлер: нет, братан)
Здравствуйте, дорогие друзья.
ВКонтакте — это не соцсеть, а цифровой СИЗО с лайками. Вот что палит тебя еще до первого поста:
• Регистрация по номеру телефона — привязка к SIM, а значит к паспорту. Даже если купил «левую» карту, операторы логируют SMS-верификацию с геолокацией вышек.
• IP-логи — каждый вход записывается в базу. ВК знает, с какого провайдера, города и даже WiFi-точки ты заходил.
• Браузерный фингерпринт — Canvas, WebGL, шрифты, разрешение экрана. Даже через "сервис на три буквы" тебя вычислят по уникальному отпечатку браузера.
• Cookies и трекеры — пиксели VK ID торчат на половине рунета. Ходишь по сайтам? ВК строит профиль интересов.
Подробнее: https://timcore.ru/2025/11/23/anonimna-li-socialnaja-set-vkontakte-spojler-net-bratan/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Анонимна ли социальная сеть ВКонтакте? (Спойлер: нет, братан) - Этичный хакинг с Михаилом Тарасовым (Timcore)
ВКонтакте — это не соцсеть, а цифровой СИЗО с лайками. Вот что палит тебя еще до первого поста:• Регистрация по номеру телефона — привязка к SIM, а значит к паспорту. Даже если купил «левую» карту, операторы логируют SMS-верификацию с геолокацией вышек.•…
Здравствуйте, дорогие друзья.
🔥 Внимание, хакеры и штурмовики флагов! 🔥
У меня для вас жёсткий подгон — сразу 3 книги по CTF всего за 1200 рублей. Но есть нюанс: акция действует всего 3 дня (24–26 ноября включительно). Дальше — поезд уйдёт, и ценник вернётся к обычному.
Что в комплекте?
📘 1. Основы CTF: Практическое руководство из окопов (1000 руб. вне акции)
https://vk.com/market/product/elektronnaya-kniga-osnovy-ctf-prakticheskoe-rukovodstvo-iz-okopov-44038255-12085168
Если ты новичок в CTF или пробовал, но застревал на простых тасках — эта книга станет твоим боевым наставником. Никакой теории ради теории, только практика и грязные хаки: веб, эксплуатация, реверс, крипта, форензика. Всё, что тебе нужно, чтобы ворваться в тему.
📘 2. CTF. TryHackMe — 50 райтапов (1500 руб. вне акции)
https://vk.com/market/product/elektronnaya-kniga-ctf-tryhackme-50-raytapov-44038255-9822389
505 страниц боли, побед и реальных боевых сценариев. Эта книга — не сопливая инструкция для студентов, а концентрат опыта топ-1 по России на TryHackMe (2021 год). 50 комнат → 50 решений → 50 шансов прокачаться и вдохнуть в свой скилл реальную мощь.
📘 3. Capture the Flag (CTF). VulnHub — 8 райтапов (бесплатно, но только в комплекте)
https://vk.com/market/product/elektronnaya-kniga-capture-the-flag-ctf-vulnhub-8-raytapov-44038255-9267197
Для тех, кто хочет почувствовать вкус настоящих боевых лабов. VulnHub — это песочница, где ты учишься ломать и защищаться как профи. Здесь ты получишь 8 разборов реальных машин.
Почему стоит брать сейчас?
• 🕐 Только 3 дня: с 24–26 ноября включительно. Потом книги возвращаются к полной цене (2500 руб.).
• 💸 Экономия 1300 рублей.
• ⚡ Это не «водичка для студентов», а рабочие мануалы, которые реально качают навыки.
🚀 Забирай свой комплект и прокачайся в CTF: от первых шагов до хардкорных тасков уровня топовых сорев.
👉 Цена по акции: 1200 руб. за ВСЕ 3 книги
📆 Срок акции: 24–26 ноября включительно.
Для приобретения книг, пишите по контакту в телеграм: @timcore1
🔥 Внимание, хакеры и штурмовики флагов! 🔥
У меня для вас жёсткий подгон — сразу 3 книги по CTF всего за 1200 рублей. Но есть нюанс: акция действует всего 3 дня (24–26 ноября включительно). Дальше — поезд уйдёт, и ценник вернётся к обычному.
Что в комплекте?
📘 1. Основы CTF: Практическое руководство из окопов (1000 руб. вне акции)
https://vk.com/market/product/elektronnaya-kniga-osnovy-ctf-prakticheskoe-rukovodstvo-iz-okopov-44038255-12085168
Если ты новичок в CTF или пробовал, но застревал на простых тасках — эта книга станет твоим боевым наставником. Никакой теории ради теории, только практика и грязные хаки: веб, эксплуатация, реверс, крипта, форензика. Всё, что тебе нужно, чтобы ворваться в тему.
📘 2. CTF. TryHackMe — 50 райтапов (1500 руб. вне акции)
https://vk.com/market/product/elektronnaya-kniga-ctf-tryhackme-50-raytapov-44038255-9822389
505 страниц боли, побед и реальных боевых сценариев. Эта книга — не сопливая инструкция для студентов, а концентрат опыта топ-1 по России на TryHackMe (2021 год). 50 комнат → 50 решений → 50 шансов прокачаться и вдохнуть в свой скилл реальную мощь.
📘 3. Capture the Flag (CTF). VulnHub — 8 райтапов (бесплатно, но только в комплекте)
https://vk.com/market/product/elektronnaya-kniga-capture-the-flag-ctf-vulnhub-8-raytapov-44038255-9267197
Для тех, кто хочет почувствовать вкус настоящих боевых лабов. VulnHub — это песочница, где ты учишься ломать и защищаться как профи. Здесь ты получишь 8 разборов реальных машин.
Почему стоит брать сейчас?
• 🕐 Только 3 дня: с 24–26 ноября включительно. Потом книги возвращаются к полной цене (2500 руб.).
• 💸 Экономия 1300 рублей.
• ⚡ Это не «водичка для студентов», а рабочие мануалы, которые реально качают навыки.
🚀 Забирай свой комплект и прокачайся в CTF: от первых шагов до хардкорных тасков уровня топовых сорев.
👉 Цена по акции: 1200 руб. за ВСЕ 3 книги
📆 Срок акции: 24–26 ноября включительно.
Для приобретения книг, пишите по контакту в телеграм: @timcore1
🔒💻 Дневник Хакера: охота на уязвимости в финтехе
Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎)
Что было сделано за сегодня:
🔍 Разведка:
• Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints
• Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!)
• Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠
🛡️ Тестирование безопасности:
• Проверил аутентификацию - используют PKI с цифровыми подписями, солидно!
• Прогнал automated scanners с соблюдением rate-limit (10 req/sec как положено)
• Нашёл несколько интересных зацепок, но пока рано говорить 🤐
💡 Что понял:
Банковская безопасность - это другой уровень. Core системы защищены как надо (PKI, IP whitelist, signing), но веб-приложения всё ещё имеют attack surface. Завтра буду копать глубже в сторону e-commerce части.
📚 Использованные инструменты:
Burp Suite Pro, Nuclei, subfinder, httpx, curl, и конечно же brain.exe 🧠💪
Кайфую от процесса! Это как квест - ищешь слабое место, тестируешь гипотезы, учишь архитектуру. И при этом помогаешь компаниям стать безопаснее 🛡️
P.S. Да, я работаю легально в рамках официальной Bug Bounty программы с signed NDA. Ethical hacking only! 😇
#bugbounty #cybersecurity #ethicalhacking #infosec #pentest #хакинг #кибербезопасность #bugbountyhunter #банки #fintech
Сегодня весь день тестировал программу Bug Bounty одного крупного российского банка 🏦 (не буду палить название, NDA же! 😎)
Что было сделано за сегодня:
🔍 Разведка:
• Собрал и проанализировал инфраструктуру - десятки поддоменов, сервисов, API endpoints
• Нашёл публичную техническую документацию их внутреннего API (кстати, интересно оформлена!)
• Изучил архитектуру платёжной системы - номинальные счета, виртуальные балансы, сделки... банкинг сложнее чем кажется! 🧠
🛡️ Тестирование безопасности:
• Проверил аутентификацию - используют PKI с цифровыми подписями, солидно!
• Прогнал automated scanners с соблюдением rate-limit (10 req/sec как положено)
• Нашёл несколько интересных зацепок, но пока рано говорить 🤐
💡 Что понял:
Банковская безопасность - это другой уровень. Core системы защищены как надо (PKI, IP whitelist, signing), но веб-приложения всё ещё имеют attack surface. Завтра буду копать глубже в сторону e-commerce части.
📚 Использованные инструменты:
Burp Suite Pro, Nuclei, subfinder, httpx, curl, и конечно же brain.exe 🧠💪
Кайфую от процесса! Это как квест - ищешь слабое место, тестируешь гипотезы, учишь архитектуру. И при этом помогаешь компаниям стать безопаснее 🛡️
P.S. Да, я работаю легально в рамках официальной Bug Bounty программы с signed NDA. Ethical hacking only! 😇
#bugbounty #cybersecurity #ethicalhacking #infosec #pentest #хакинг #кибербезопасность #bugbountyhunter #банки #fintech
#blog
#vulnerability
Чем отличается найденная уязвимость в тестовой среде от бага в реальном проекте? 🔍💣
Слушай, братишка, если ты думаешь, что SQL-инъекция в staging — это то же самое, что дыра в продакшене, то у меня для тебя плохие новости. Давай разберём эту тему как настоящие RedTeam’еры, без воды и с жёсткими примерами.
https://vk.com/@hacker_timcore-chem-otlichaetsya-naidennaya-uyazvimost-v-testovoi-srede-ot
#vulnerability
Чем отличается найденная уязвимость в тестовой среде от бага в реальном проекте? 🔍💣
Слушай, братишка, если ты думаешь, что SQL-инъекция в staging — это то же самое, что дыра в продакшене, то у меня для тебя плохие новости. Давай разберём эту тему как настоящие RedTeam’еры, без воды и с жёсткими примерами.
https://vk.com/@hacker_timcore-chem-otlichaetsya-naidennaya-uyazvimost-v-testovoi-srede-ot
VK
Чем отличается найденная уязвимость в тестовой среде от бага в реальном проекте? 🔍💣
Слушай, братишка, если ты думаешь, что SQL-инъекция в staging — это то же самое, что дыра в продакшене, то у меня для тебя плохие новости..