[Мои разработки] Vulnerable Web App - Учебное приложение (v3.0)

Предоставляю Вашему вниманию веб-приложение для изучения типичных уязвимостей веб-безопасности. Только для образовательных целей!

Vulnerable Web App - это образовательная платформа для изучения веб-уязвимостей, разработанная для специалистов по информационной безопасности, студентов и всех, кто интересуется веб-безопасностью. Проект представляет собой набор интерактивных лабораторий, которые позволяют пользователям практиковать обнаружение и эксплуатацию различных уязвимостей в безопасной среде.

🚨 Предупреждение

Это приложение содержит намеренные уязвимости и должно использоваться только в учебных целях в изолированной среде. Не размещайте его на публичных серверах!

📋 Содержание

Приложение демонстрирует следующие уязвимости:

1. Уязвимости аутентификации (SQL-инъекции, слабые пароли)
2. Файловые уязвимости (Path Traversal, небезопасная загрузка)
3. API уязвимости (недостаточная аутентификация, Mass Assignment)
4. Cross-Site Scripting (XSS)
- Reflected XSS
- Stored XSS
- DOM-based XSS
5. Cross-Site Request Forgery (CSRF)
6. Server-Side Request Forgery (SSRF)
7. Нарушение контроля доступа (IDOR) ⭐️ новое
8. JWT (JSON Web Token) уязвимости ⭐️ новое
9. XXE (XML External Entity) инъекции ⭐️ новое
10. NoSQL инъекции ⭐️ новое

🔄 Что нового в версии 3.0

В третье обновление добавлены 4 новых типа уязвимостей:

- IDOR (Insecure Direct Object References): изучите, как злоумышленники могут получать доступ к чужим данным путём прямого указания идентификаторов объектов
- JWT уязвимости: исследуйте проблемы безопасности с JSON Web Token, включая подделку токенов и использование "none" алгоритма
- XXE инъекции: узнайте, как злоумышленники могут использовать XML-парсеры для чтения системных файлов и выполнения других атак
- NoSQL инъекции: изучите уязвимости, специфичные для нереляционных баз данных, в частности MongoDB

Основные обновления:

- Добавлена новая лаборатория по NoSQL-инъекциям
- Четыре уровня сложности заданий для изучения уязвимостей MongoDB
- Практические задания по обходу аутентификации, манипуляции операторами и инъекциям в агрегационный конвейер
- Подробные решения с примерами кода в едином стиле

- Улучшенный интерфейс всех лабораторий
- Переработан дизайн раздела решений в хакерском стиле
- Улучшена навигация между заданиями
- Добавлены визуальные индикаторы прогресса

- Оптимизация и исправления
- Исправлены ошибки в работе интерактивных элементов
- Оптимизирована загрузка ресурсов

📚 Доступные лаборатории
В текущей версии приложения доступны следующие лаборатории:

1. XSS (Cross-Site Scripting) - изучение различных типов XSS-уязвимостей, включая Reflected, Stored и DOM-based XSS
2. SQL Инъекции - практика эксплуатации уязвимостей SQL-инъекций, обход аутентификации и извлечение данных
3. IDOR (Insecure Direct Object References) - изучение уязвимостей контроля доступа
4. JWT (JSON Web Tokens) - исследование уязвимостей в механизмах аутентификации на основе токенов
5. XXE (XML External Entity) - практика эксплуатации XXE-уязвимостей
6. NoSQL Инъекции - НОВОЕ! Изучение уязвимостей в MongoDB и других NoSQL базах данных

Цена скриптов: 5000 руб. Все последующие обновления бесплатны, после приобретения.

Для заказа, пишите по контакту: @timcore1

#rust
#rust_hacking

Курс — Хакинг на Rust. #1 Введение: Почему Rust? Преимущества языка для кибербезопасности

Здравствуйте, дорогие друзья.

Кибербезопасность — это гонка вооружений. Каждый день появляются новые угрозы, уязвимости и методы атак, а защитники систем вынуждены постоянно адаптироваться. В этой борьбе инструменты, которые мы выбираем, играют ключевую роль. Rust, разработанный Mozilla в 2010 году, быстро завоевал репутацию языка, который не только сочетает высокую производительность с безопасностью, но и меняет правила игры в разработке надежного программного обеспечения. Но почему именно Rust становится инструментом выбора для хакеров, пентестеров и специалистов по безопасности? Давайте разберемся.

Подробнее: https://timcore.ru/2025/03/02/kurs-haking-na-rust-1-vvedenie-pochemu-rust-preimushhestva-jazyka-dlja-kiberbezopasnosti/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#rust
#rust_hacking

Здравствуйте, дорогие друзья.

Хакинг — это искусство обхода правил. Но что, если правила начинают работать на вас? Rust, созданный как язык системного программирования, не только предлагает беспрецедентный контроль над ресурсами, но и кардинально меняет подход к созданию и эксплуатации программ. Его уникальная комбинация безопасности, скорости и низкоуровневого доступа делает его идеальным инструментом как для защиты систем, так и для их атаки. В этом разделе мы разберем, как Rust переписывает правила игры в кибербезопасности.

Подробнее: https://timcore.ru/2025/03/02/kurs-haking-na-rust-2-bezopasnost-skorost-i-kontrol-kak-rust-menjaet-podhod-k-hakingu/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#tryhackme
#ctf
#thm

TryHackMe — 0day [Райтап]

Сегодня решим задачу boot2root, под названием “0day“. Она доступна на TryHackMe для практики тестирования на проникновение. Эта лабораторная работа несложна, если у нас есть необходимые базовые знания для взлома лабораторий и мы внимательно относимся ко всем деталям, которые обнаруживаем во время разведки. Заслуга в создании этой лабораторной работы принадлежит MuirlandOracle и 0 day. Давайте начнем и узнаем, как успешно получить рут-права.

Уровень: Средний

Подробнее: https://timcourse.ru/tryhackme-0day-rajtap/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#tryhackme
#ctf
#thm

TryHackMe — Alfred [Райтап]

Подробнее: https://timcourse.ru/tryhackme-alfred-rajtap/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#news
#backdoor

Группа Dark Caracal использует новый бэкдор Poco RAT

Хак-группа Dark Caracal, действующая с 2012 года, сменила инструментарий и тактику атак, рассказывают специалисты Positive Technologies. К такому выводу эксперты пришли, изучив бэкдор Poco RAT, который ранее не связывали с какими-либо преступными группами.

Источник: https://xakep.ru/2025/03/03/poco-rat/

#news

В наборе данных для обучения ИИ нашли 12 000 ключей API

В наборе данных Common Crawl, который используется для обучения множества ИИ-моделей, обнаружили около 12 000 секретов, в том числе пароли и ключи API.

Источник: https://xakep.ru/2025/03/03/common-crawl-secrets/

#news

Из Firefox исчезло обещание никогда не продавать данные своих пользователей

Разработчики Mozilla удалили обещание никогда не продавать личные данные своих пользователей из FAQ и Условий использования и теперь вынуждены успокаивать сообщество, уверяя, что подход к конфиденциальности в Firefox не претерпел серьезных изменений.

Источник: https://xakep.ru/2025/03/03/firefox-privacy/

#forensics

Анализ артефактов браузеров: исследование истории, кэша и cookies

Современные браузеры хранят огромное количество данных о действиях пользователей: посещенные сайты, загруженные файлы, учетные записи и даже пароли. Эти артефакты становятся ключевым источником информации в цифровых расследованиях, помогая восстановить события, идентифицировать злоумышленников или подтвердить алиби. В статье рассмотрим, как история, кэш и cookies браузеров используются в форензике, а также методы их извлечения.

Подробнее: https://timforensics.ru/analiz-artefaktov-brauzerov-issledovanie-istorii-kesha-i-cookies/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Форензика USB-устройств: отслеживание подключений и передачи данных

С развитием цифровых технологий USB-устройства стали неотъемлемой частью повседневной жизни. Однако их универсальность и портативность делают их инструментом для хищения данных, распространения вредоносного ПО или сокрытия следов преступлений. Форензика USB-устройств фокусируется на выявлении, анализе и интерпретации цифровых следов, оставляемых при подключении флеш-накопителей, внешних дисков и других устройств. Эти данные играют ключевую роль в расследованиях киберпреступлений, утечек информации и инсайдерских угроз.

Подробнее: https://timforensics.ru/forenzika-usb-ustrojstv-otslezhivanie-podklyuchenij-i-peredachi-dannyh/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#news
#telegram

Telegram будет показывать информацию о стране и дате регистрации пользователей

В бета-версии Telegram тестируют функцию, которая позволяет увидеть детальную информацию об отправителе, если пользователю пишет незнакомый человек.

Источник: https://xakep.ru/2025/03/03/telegram-user-data/

#rust
#rust_hacking

Курс — Хакинг на Rust. #3 Основы Rust для хакеров. Знакомство с Rust. Установка и настройка среды (Rustup, Cargo)

Здравствуйте, дорогие друзья.

Первый шаг к освоению Rust — подготовка рабочей среды. В отличие от многих языков, где установка превращается в квест, Rust предлагает унифицированный инструмент — Rustup , который упрощает управление версиями компилятора и компонентами. Для хакеров это критически важно: вы сможете быстро переключаться между стабильными и nightly-билдами, собирать проекты под разные платформы и интегрироваться с C-библиотеками.

Подробнее: https://timcore.ru/2025/03/04/kurs-haking-na-rust-3-osnovy-rust-dlja-hakerov-znakomstvo-s-rust-ustanovka-i-nastrojka-sredy-rustup-cargo/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#chat_bot
#bot
#robot

Сравнение библиотек для создания Telegram-ботов: Python (Telebot, Aiogram) vs JavaScript (Telegraf, Node.js)

Чат-боты стали неотъемлемой частью современных мессенджеров, автоматизируя задачи и взаимодействуя с пользователями. Telegram, благодаря открытому API, предлагает разработчикам гибкие инструменты для создания ботов. В этой статье сравним популярные библиотеки для разработки Telegram-ботов на Python и JavaScript: Telebot, Aiogram, Telegraf и Node.js.

Подробнее: https://timrobot.ru/sravnenie-bibliotek-dlya-sozdaniya-telegram-botov-python-telebot-aiogram-vs-javascript-telegraf-node-js/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#chat_bot
#bot
#robot

Обзор Botpress: создание сложных ботов с графическим интерфейсом

В эпоху цифровизации чат-боты стали незаменимыми помощниками для бизнеса и пользователей. Они автоматизируют поддержку, обрабатывают запросы и улучшают взаимодействие с аудиторией. Однако разработка сложных ботов часто требует глубоких технических знаний. Именно здесь на помощь приходит Botpress — платформа, которая сочетает мощь программирования с удобством визуального редактора.

Подробнее: https://timrobot.ru/obzor-botpress-sozdanie-slozhnyh-botov-s-graficheskim-interfejsom/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Бот для поиска договорных матчей по киберспорту в прематче

Этот бот анализирует падение коэффициентов на исходы азиатского букмекера, выявляя потенциально договорные матчи по киберспорту.

📉 После обнаружения резкого падения бот отслеживает блокировку приёма ставок.
📊 Два подряд сигнала (падение коэффициента + блокировка) указывают на возможный скачок ставок -
договорной характер исхода матча.
✅ Данные мгновенно отправляются в Telegram-канал.
⚡️ Возможна автопостановка ставок у любого букмекера.

⚙️ Гибкие настройки:
🔹 Поиск падения коэффициента на исходы на матч и карты
🔹 Игры: CS2, DOTA2, LEAGUE of LEGEND, VALORANT, KING OF GLORY, CROSSFIRE, MOBILE LEGEND, OVERWATCH
🔹 Отслеживание падения коэффициента – на 10% в пределах 480 секунд (текущие настройки, можно изменять)
🔹 После падение мониторинг блокировки приёма ставок – после падения коэффициента более 30 секунд
(в течении 600 сек, текущие настройки)
🔹 Фильтр событий – коэффициент должен быть менее 1.5 и не более 3.5 (текущие значения)
🔹 Фильтр исключения лиг

💰 Стоимость бота – 30000 рублей (включает установку, обучение, сервис и поддержку).
💻 Аренда VPS-сервера – 1000 рублей/месяц (или бесплатно на вашем компьютере).

Для приобретения, а также разработке скриптов под заказ, пишите по контакту: @timcore1

#news

Cloudflare блокирует непопулярные браузеры

Пользователи ряда не самых популярных браузеров жалуются на проблемы с доступом к различным сайтам, которые возникают из-за работы систем Cloudflare.

Источник: https://xakep.ru/2025/03/05/cloudflare-browser-blocks/