Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#xxe
XXE через нестандартные MIME: как взломать API через «левый» content-type
Что вижу:
API принимает данные с Content-Type: application/xml+quotes, но парсит как XML. В ответе на <root>&foo;</root> → ошибка «Entity ‘foo’ not defined». Пахнет внедрением сущностей, как тухлый сыр в холодильнике пентестера.
Подробнее: https://timcourse.ru/xxe-cherez-nestandartnye-mime-kak-vzlomat-api-cherez-levyj-content-type/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#xxe
XXE через нестандартные MIME: как взломать API через «левый» content-type
Что вижу:
API принимает данные с Content-Type: application/xml+quotes, но парсит как XML. В ответе на <root>&foo;</root> → ошибка «Entity ‘foo’ not defined». Пахнет внедрением сущностей, как тухлый сыр в холодильнике пентестера.
Подробнее: https://timcourse.ru/xxe-cherez-nestandartnye-mime-kak-vzlomat-api-cherez-levyj-content-type/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
XXE через нестандартные MIME: как взломать API через «левый» content-type — Авторские курсы Михаила Тарасова
API принимает данные с Content-Type: application/xml+quotes, но парсит как XML. В ответе на &foo; → ошибка «Entity 'foo' not defined». Пахнет внедрением сущностей, как тухлый сыр в холодильнике пентестера.
#ai
#blog
Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач
Компания Anthropic объявила о выпуске двух новых моделей в серии Claude 4: Claude Opus 4 и Claude Sonnet 4 . Презентация состоялась 22 мая 2025 года на первой конференции разработчиков «Code with Claude». Эти модели позиционируются как прорыв в области искусственного интеллекта, особенно для задач кодирования и многоэтапного мышления.
Подробнее: https://timneuro.ru/anthropic-predstavila-claude-4-sonnet-i-opus-novye-modeli-dlya-kodirovaniya-i-slozhnyh-zadach/
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
#blog
Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач
Компания Anthropic объявила о выпуске двух новых моделей в серии Claude 4: Claude Opus 4 и Claude Sonnet 4 . Презентация состоялась 22 мая 2025 года на первой конференции разработчиков «Code with Claude». Эти модели позиционируются как прорыв в области искусственного интеллекта, особенно для задач кодирования и многоэтапного мышления.
Подробнее: https://timneuro.ru/anthropic-predstavila-claude-4-sonnet-i-opus-novye-modeli-dlya-kodirovaniya-i-slozhnyh-zadach/
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Нейро Мастер
Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач — Нейро Мастер
Главная / Блог / Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач Anthropic представила Claude 4 Sonnet и
#fingerprinting
#anonymity
Глобальный фингерпринтинг: как вас ловят по 10 разным метаданным
Здравствуйте, дорогие друзья.
Точка входа: Браузерный фингерпринт. Canvas, WebGL, User-Agent, Timezone, Fonts — ха-ха, «я просто Firefox обновил», а уже слил уникальный паттерн.
Подробнее: https://timcore.ru/2025/05/23/globalnyj-fingerprinting-kak-vas-lovjat-po-10-raznym-metadannym/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#anonymity
Глобальный фингерпринтинг: как вас ловят по 10 разным метаданным
Здравствуйте, дорогие друзья.
Точка входа: Браузерный фингерпринт. Canvas, WebGL, User-Agent, Timezone, Fonts — ха-ха, «я просто Firefox обновил», а уже слил уникальный паттерн.
Подробнее: https://timcore.ru/2025/05/23/globalnyj-fingerprinting-kak-vas-lovjat-po-10-raznym-metadannym/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Глобальный фингерпринтинг: как вас ловят по 10 разным метаданным - Этичный хакинг с Михаилом Тарасовым (Timcore)
Браузерный фингерпринтCanvas, WebGL, User-Agent, Timezone, Fonts — ха-ха, «я просто Firefox обновил», а уже слил уникальный паттерн.
#telegram
#anonymity
Telegram: анонимен ли ты, если торчишь в «секретных чатах»? Раскопки MTProto
Эй, бро, если ты думаешь, что «секретные чаты» в Telegram — это твой цифровой бункер, то садись поудобнее. Я — твой параноидальный братишка, который видит слежку даже в смайликах. Сегодня копаем под Telegram и его MTProto, чтобы понять, насколько ты невидим, а насколько уже в логах у АНБ. Погнали.
Подробнее: https://timcore.ru/2025/05/23/telegram-anonimen-li-ty-esli-torchish-v-sekretnyh-chatah-raskopki-mtproto/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#anonymity
Telegram: анонимен ли ты, если торчишь в «секретных чатах»? Раскопки MTProto
Эй, бро, если ты думаешь, что «секретные чаты» в Telegram — это твой цифровой бункер, то садись поудобнее. Я — твой параноидальный братишка, который видит слежку даже в смайликах. Сегодня копаем под Telegram и его MTProto, чтобы понять, насколько ты невидим, а насколько уже в логах у АНБ. Погнали.
Подробнее: https://timcore.ru/2025/05/23/telegram-anonimen-li-ty-esli-torchish-v-sekretnyh-chatah-raskopki-mtproto/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Telegram: анонимен ли ты, если торчишь в «секретных чатах»? Раскопки MTProto - Этичный хакинг с Михаилом Тарасовым (Timcore)
Эй, бро, если ты думаешь, что «секретные чаты» в Telegram — это твой цифровой бункер, то садись поудобнее. Я — твой параноидальный братишка, который видит слежку даже в смайликах. Сегодня копаем под Telegram и его MTProto, чтобы понять, насколько ты невидим…
#pentester
#bug_hunter
Кем быть сложнее пентестером, либо багхантером
Определить, что сложнее — быть пентестером или багхантером, зависит от множества факторов, включая ваши личные навыки, интересы и контекст работы.
Смотреть видеоролик: https://rutube.ru/video/4fd827e6a20fa28c9d1ea7f66bc4bf3b/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunter
Кем быть сложнее пентестером, либо багхантером
Определить, что сложнее — быть пентестером или багхантером, зависит от множества факторов, включая ваши личные навыки, интересы и контекст работы.
Смотреть видеоролик: https://rutube.ru/video/4fd827e6a20fa28c9d1ea7f66bc4bf3b/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
RUTUBE
Кем быть сложнее пентестером, либо багхантером
Определить, что сложнее — быть пентестером или багхантером, зависит от множества факторов, включая ваши личные навыки, интересы и контекст работы.
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/…
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/…
#bug_bounty
#bug_hunter
Российские площадки для БагХантеров: где белым шляпам делать деньги в 2025
Братан, помнишь времена, когда единственный способ поживиться с багов был через приватные программы да самопальные каналы? Теперь в России полноценная экосистема выросла — три мощные платформы работают, плюс самописные программы у отдельных контор. После 2022 года, когда HackerOne нас кинул, пришлось строить свое. И знаешь что? Получилось неплохо. Выплаты реальные — от копеек до миллионов, компании топовые участвуют, а главное — все легально, без риска статьи 272 УК.
Подробнее: https://timcore.ru/2025/05/23/rossijskie-ploshhadki-dlja-baghanterov-gde-belym-shljapam-delat-dengi-v-2025/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunter
Российские площадки для БагХантеров: где белым шляпам делать деньги в 2025
Братан, помнишь времена, когда единственный способ поживиться с багов был через приватные программы да самопальные каналы? Теперь в России полноценная экосистема выросла — три мощные платформы работают, плюс самописные программы у отдельных контор. После 2022 года, когда HackerOne нас кинул, пришлось строить свое. И знаешь что? Получилось неплохо. Выплаты реальные — от копеек до миллионов, компании топовые участвуют, а главное — все легально, без риска статьи 272 УК.
Подробнее: https://timcore.ru/2025/05/23/rossijskie-ploshhadki-dlja-baghanterov-gde-belym-shljapam-delat-dengi-v-2025/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Российские площадки для БагХантеров: где белым шляпам делать деньги в 2025 - Этичный хакинг с Михаилом Тарасовым (Timcore)
Братан, помнишь времена, когда единственный способ поживиться с багов был через приватные программы да самопальные каналы? Теперь в России полноценная экосистема выросла — три мощные платформы работают, плюс самописные программы у отдельных контор. После…
#anonymity
#whatsapp
WhatsApp под рентгеном: приватность или иллюзия?
Бро, раз уж мы с тобой в этом цифровом подполье, давай вскроем WhatsApp как консервную банку и посмотрим, что там за кишки в плане анонимности и приватности. Я — твой параноидальный кореш, и вот как я это вижу…
Подробнее: https://timcore.ru/2025/05/23/whatsapp-pod-rentgenom-privatnost-ili-illjuzija/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
WhatsApp под рентгеном: приватность или иллюзия?
Бро, раз уж мы с тобой в этом цифровом подполье, давай вскроем WhatsApp как консервную банку и посмотрим, что там за кишки в плане анонимности и приватности. Я — твой параноидальный кореш, и вот как я это вижу…
Подробнее: https://timcore.ru/2025/05/23/whatsapp-pod-rentgenom-privatnost-ili-illjuzija/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
WhatsApp под рентгеном: приватность или иллюзия? - Этичный хакинг с Михаилом Тарасовым (Timcore)
Бро, раз уж мы с тобой в этом цифровом подполье, давай вскроем WhatsApp как консервную банку и посмотрим, что там за кишки в плане анонимности и приватности. Я — твой параноидальный кореш, и вот как я это вижу...
#forensics
Жуткие следы: как восстановить удалённые файлы, которые точно не должны были всплыть
Вот тебе шок-контент: кнопка «Удалить» — это не вердикт, а жалкая попытка спрятать грязное бельё под кровать. Пока кто-то засылает файлы в корзину и облегчённо выдыхает, форензик-спец уже натирает руки и готовится к настоящей охоте.
Подробнее: https://timforensics.ru/zhutkie-sledy-kak-vosstanovit-udalyonnye-fajly-kotorye-tochno-ne-dolzhny-byli-vsplyt/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Жуткие следы: как восстановить удалённые файлы, которые точно не должны были всплыть
Вот тебе шок-контент: кнопка «Удалить» — это не вердикт, а жалкая попытка спрятать грязное бельё под кровать. Пока кто-то засылает файлы в корзину и облегчённо выдыхает, форензик-спец уже натирает руки и готовится к настоящей охоте.
Подробнее: https://timforensics.ru/zhutkie-sledy-kak-vosstanovit-udalyonnye-fajly-kotorye-tochno-ne-dolzhny-byli-vsplyt/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Жуткие следы: как восстановить удалённые файлы, которые точно не должны были всплыть | Форензика
Вступление: Смерть файла — миф Вот тебе шок-контент: кнопка «Удалить» — это не вердикт, а жалкая попытка спрятать грязное бельё под кровать. Пока кто-то
#humor
Почему CVE — это как бывшая? Потому что ты думаешь, что закрыл все дыры, а потом бац — новый эксплойт на GitHub, и ты снова в деле с патчами до утра! Хех, классика, как WAF на коленке.
Почему CVE — это как бывшая? Потому что ты думаешь, что закрыл все дыры, а потом бац — новый эксплойт на GitHub, и ты снова в деле с патчами до утра! Хех, классика, как WAF на коленке.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Mass Assignment в GraphQL: как сломать API через жирный JSON
GraphQL-эндпоинт на /graphql принимает мутации вроде updateUser(input: {name: "bro"}). Кидаешь в input лишние поля — isAdmin: true, а сервер молча хавает и возвращает 200 OK. Пахнет Mass Assignment, как старый бургер под диваном в подвале.
Подробнее: https://timcourse.ru/mass-assignment-v-graphql-kak-slomat-api-cherez-zhirnyj-json/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Mass Assignment в GraphQL: как сломать API через жирный JSON
GraphQL-эндпоинт на /graphql принимает мутации вроде updateUser(input: {name: "bro"}). Кидаешь в input лишние поля — isAdmin: true, а сервер молча хавает и возвращает 200 OK. Пахнет Mass Assignment, как старый бургер под диваном в подвале.
Подробнее: https://timcourse.ru/mass-assignment-v-graphql-kak-slomat-api-cherez-zhirnyj-json/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Mass Assignment в GraphQL: как сломать API через жирный JSON — Авторские курсы Михаила Тарасова
GraphQL-эндпоинт на /graphql принимает мутации вроде updateUser(input: {name: "bro"}). Кидаешь в input лишние поля — isAdmin: true, а сервер молча хавает и возвращает 200 OK. Пахнет Mass Assignment, как старый бургер под диваном в подвале. Как поймал: — …
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Bypass CORS через Wildcard: как сломать браузерную защиту через звёздочку
API на api.target.com отвечает заголовком Access-Control-Allow-Origin: *. Вместе с этим светится Access-Control-Allow-Credentials: true. Пахнет обходом CORS, как дешёвое пиво на хакерской тусовке.
Подробнее: https://timcourse.ru/bypass-cors-cherez-wildcard-kak-slomat-brauzernuyu-zashhitu-cherez-zvyozdochku/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Bypass CORS через Wildcard: как сломать браузерную защиту через звёздочку
API на api.target.com отвечает заголовком Access-Control-Allow-Origin: *. Вместе с этим светится Access-Control-Allow-Credentials: true. Пахнет обходом CORS, как дешёвое пиво на хакерской тусовке.
Подробнее: https://timcourse.ru/bypass-cors-cherez-wildcard-kak-slomat-brauzernuyu-zashhitu-cherez-zvyozdochku/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Bypass CORS через Wildcard: как сломать браузерную защиту через звёздочку — Авторские курсы Михаила Тарасова
API на api.target.com отвечает заголовком Access-Control-Allow-Origin: *. Вместе с этим светится Access-Control-Allow-Credentials: true. Пахнет обходом CORS, как дешёвое пиво на хакерской тусовке.
#blog
Итак, господа, предзаказ на мою новую книгу: «Пентест из Подвала от Recon до Shell» завершился.
По объему вышла 121 страница текста с кодом, и командами.
К сожалению, кто не успел предзаказать, для тех цена составляет 1500 рублей.
Поверьте - эта книга стоит Вашего внимания.
P.S. Спасибо ребятам, которые делали предзаказ. Вы ускорили выход книги в два раза по времени. :)
Итак, господа, предзаказ на мою новую книгу: «Пентест из Подвала от Recon до Shell» завершился.
По объему вышла 121 страница текста с кодом, и командами.
К сожалению, кто не успел предзаказать, для тех цена составляет 1500 рублей.
Поверьте - эта книга стоит Вашего внимания.
P.S. Спасибо ребятам, которые делали предзаказ. Вы ускорили выход книги в два раза по времени. :)
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Как я ломал Wildberries — от Recon до RCE
Братан, Wildberries — это не просто маркетплейс, это твой личный полигон для баг-баунти. Их фронт — как твоя бывшая: орёт «403 Forbidden», а внутри пустота и уязвимости. Если зафейлишь, иди спать. Или учи Rust, потому что без боли нет профита.
Подробнее: https://timcourse.ru/kak-ya-lomal-wildberries-ot-recon-do-rce/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Как я ломал Wildberries — от Recon до RCE
Братан, Wildberries — это не просто маркетплейс, это твой личный полигон для баг-баунти. Их фронт — как твоя бывшая: орёт «403 Forbidden», а внутри пустота и уязвимости. Если зафейлишь, иди спать. Или учи Rust, потому что без боли нет профита.
Подробнее: https://timcourse.ru/kak-ya-lomal-wildberries-ot-recon-do-rce/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Как я ломал Wildberries — от Recon до RCE — Авторские курсы Михаила Тарасова
Братан, Wildberries — это не просто маркетплейс, это твой личный полигон для баг-баунти. Их фронт — как твоя бывшая: орёт "403 Forbidden", а внутри пустота и уязвимости. Если зафейлишь, иди спать. Или учи Rust, потому что без боли нет профита.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#ctf
#tryhackme
TryHackMe как площадка для развития скиллов: глубокий анализ боевой подготовки хакеров
Бро, сел разбирать эту площадку как следует — от AttackBox’а до сертификатов. TryHackMe позиционирует себя как игровая платформа для обучения кибербезопасности, но давай посмотрим, что там на самом деле под капотом. Платформа обслуживает более 4 миллионов пользователей и 700+ корпоративных клиентов, предлагая интерактивные лабы, CTF-челленджи и структурированные пути обучения. Основная фишка — геймификация процесса обучения через очки, бейджи и стрики, что делает скучную теорию более увлекательной. Однако есть и серьёзные технические косяки в архитектуре безопасности платформы, которые мы разберём детально.
Подробнее: https://timcourse.ru/tryhackme-kak-ploshhadka-dlya-razvitiya-skillov-glubokij-analiz-boevoj-podgotovki-hakerov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#tryhackme
TryHackMe как площадка для развития скиллов: глубокий анализ боевой подготовки хакеров
Бро, сел разбирать эту площадку как следует — от AttackBox’а до сертификатов. TryHackMe позиционирует себя как игровая платформа для обучения кибербезопасности, но давай посмотрим, что там на самом деле под капотом. Платформа обслуживает более 4 миллионов пользователей и 700+ корпоративных клиентов, предлагая интерактивные лабы, CTF-челленджи и структурированные пути обучения. Основная фишка — геймификация процесса обучения через очки, бейджи и стрики, что делает скучную теорию более увлекательной. Однако есть и серьёзные технические косяки в архитектуре безопасности платформы, которые мы разберём детально.
Подробнее: https://timcourse.ru/tryhackme-kak-ploshhadka-dlya-razvitiya-skillov-glubokij-analiz-boevoj-podgotovki-hakerov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
TryHackMe как площадка для развития скиллов: глубокий анализ боевой подготовки хакеров — Авторские курсы Михаила Тарасова
Бро, сел разбирать эту площадку как следует — от AttackBox'а до сертификатов. TryHackMe позиционирует себя как игровая платформа для обучения кибербезопасности, но давай посмотрим, что там на самом деле под капотом. Платформа обслуживает более 4 миллионов…
#blog
#ctf
Потихоньку играю в CTF, когда есть время свободное. Сейчас в мировом рейтинге вхожу в топ 1% юзеров, и занимаю 1152 место.
По РФ на 17 месте в рейтинге.
Сегодня первый день после застоя ковырял, с 2021 года.
На данной платформе уже более 4 000 000 пользователей. Да, раскрутился сервис по-серьезному.
#ctf
Потихоньку играю в CTF, когда есть время свободное. Сейчас в мировом рейтинге вхожу в топ 1% юзеров, и занимаю 1152 место.
По РФ на 17 месте в рейтинге.
Сегодня первый день после застоя ковырял, с 2021 года.
На данной платформе уже более 4 000 000 пользователей. Да, раскрутился сервис по-серьезному.
#privesc
#linux
Локальный прокаченный PrivEsc под Linux: Секретные Фокусы
Давай к делу, старина:
Шаг первый: Разведка местности
Оглядываемся, проверяем, что у нас за палец в носу торчит. Чекнем uname -a, id, lsb_release -a, команды которые покажут нам, что за машинка под нашими пальцами.
Подробнее: https://timcore.ru/2025/05/26/lokalnyj-prokachennyj-privesc-pod-linux-sekretnye-fokusy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#linux
Локальный прокаченный PrivEsc под Linux: Секретные Фокусы
Давай к делу, старина:
Шаг первый: Разведка местности
Оглядываемся, проверяем, что у нас за палец в носу торчит. Чекнем uname -a, id, lsb_release -a, команды которые покажут нам, что за машинка под нашими пальцами.
Подробнее: https://timcore.ru/2025/05/26/lokalnyj-prokachennyj-privesc-pod-linux-sekretnye-fokusy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Локальный прокаченный PrivEsc под Linux: Секретные Фокусы - Этичный хакинг с Михаилом Тарасовым (Timcore)
Оглядываемся, проверяем, что у нас за палец в носу торчит. Чекнем uname -a, id, lsb_release -a, команды которые покажут нам, что за машинка под нашими пальцами.
#pentest
#burp_suite
Burp Suite, как сверхоружие пентестера: техники и плагины, о которых ты не знал
Сразу к сути, старик. Burp — это не просто прокси, это наш швейцарский нож для резки веба. Я покажу, как выжать максимум из Intruder, Repeater, как обойти WAF с плагинами и настроить туннели, чтобы нас не засекли.
Подробнее: https://timcore.ru/2025/05/26/burp-suite-kak-sverhoruzhie-pentestera-tehniki-i-plaginy-o-kotoryh-ty-ne-znal/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#burp_suite
Burp Suite, как сверхоружие пентестера: техники и плагины, о которых ты не знал
Сразу к сути, старик. Burp — это не просто прокси, это наш швейцарский нож для резки веба. Я покажу, как выжать максимум из Intruder, Repeater, как обойти WAF с плагинами и настроить туннели, чтобы нас не засекли.
Подробнее: https://timcore.ru/2025/05/26/burp-suite-kak-sverhoruzhie-pentestera-tehniki-i-plaginy-o-kotoryh-ty-ne-znal/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Burp Suite, как сверхоружие пентестера: техники и плагины, о которых ты не знал - Этичный хакинг с Михаилом Тарасовым (Timcore)
Сразу к сути, старик. Burp — это не просто прокси, это наш швейцарский нож для резки веба. Я покажу, как выжать максимум из Intruder, Repeater, как обойти WAF с плагинами и настроить туннели, чтобы нас не засекли.
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#rce
#exploit
#php
#python
RCE через десериализацию: Код из данных в Python и PHP
Десериализация — это процесс превращения данных (например, строк или байтов) обратно в объекты. Проблема в том, что если пользовательские данные десериализуются без фильтрации, можно подсунуть зловредный объект и выполнить произвольный код (Remote Code Execution, RCE). В 2025 году это всё ещё ахиллесова пята многих приложений.
Подробнее: https://timrobot.ru/rce-cherez-deserializacziyu-kod-iz-dannyh-v-python-i-php/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#exploit
#php
#python
RCE через десериализацию: Код из данных в Python и PHP
Десериализация — это процесс превращения данных (например, строк или байтов) обратно в объекты. Проблема в том, что если пользовательские данные десериализуются без фильтрации, можно подсунуть зловредный объект и выполнить произвольный код (Remote Code Execution, RCE). В 2025 году это всё ещё ахиллесова пята многих приложений.
Подробнее: https://timrobot.ru/rce-cherez-deserializacziyu-kod-iz-dannyh-v-python-i-php/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
RCE через десериализацию: Код из данных в Python и PHP - Разработка роботов и эксплойтов
Десериализация — это процесс превращения данных (например, строк или байтов) обратно в объекты. Проблема в том, что если пользовательские данные десериализуются без фильтрации, можно подсунуть зловредный объект и выполнить произвольный код (Remote Code Execution…
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#rop
#exploit
#iot
ROP-цепочки на ARM: взламываем IoT без ASLR
Большинство IoT-устройств (роутеры, камеры, умные колонки) работают на архитектуре ARM. В 2025 году многие из них всё ещё не используют ASLR (Address Space Layout Randomization), что делает адреса памяти предсказуемыми. Это идеальная мишень для бинарных эксплойтов, особенно через ROP (Return-Oriented Programming) и переполнение буфера.
Подробнее: https://timrobot.ru/rop-czepochki-na-arm-vzlamyvaem-iot-bez-aslr/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#exploit
#iot
ROP-цепочки на ARM: взламываем IoT без ASLR
Большинство IoT-устройств (роутеры, камеры, умные колонки) работают на архитектуре ARM. В 2025 году многие из них всё ещё не используют ASLR (Address Space Layout Randomization), что делает адреса памяти предсказуемыми. Это идеальная мишень для бинарных эксплойтов, особенно через ROP (Return-Oriented Programming) и переполнение буфера.
Подробнее: https://timrobot.ru/rop-czepochki-na-arm-vzlamyvaem-iot-bez-aslr/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
ROP-цепочки на ARM: взламываем IoT без ASLR - Разработка роботов и эксплойтов
Большинство IoT-устройств (роутеры, камеры, умные колонки) работают на архитектуре ARM. В 2025 году многие из них всё ещё не используют ASLR (Address Space Layout Randomization), что делает адреса памяти предсказуемыми. Это идеальная мишень для бинарных эксплойтов…
Media is too big
VIEW IN TELEGRAM
[Мои разработки] Vulnerable Web App - Учебное приложение (v3.0)
Предоставляю Вашему вниманию веб-приложение для изучения типичных уязвимостей веб-безопасности. Только для образовательных целей!
Vulnerable Web App - это образовательная платформа для изучения веб-уязвимостей, разработанная для специалистов по информационной безопасности, студентов и всех, кто интересуется веб-безопасностью. Проект представляет собой набор интерактивных лабораторий, которые позволяют пользователям практиковать обнаружение и эксплуатацию различных уязвимостей в безопасной среде.
🚨 Предупреждение
Это приложение содержит намеренные уязвимости и должно использоваться только в учебных целях в изолированной среде. Не размещайте его на публичных серверах!
📋 Содержание
Приложение демонстрирует следующие уязвимости:
1. Уязвимости аутентификации (SQL-инъекции, слабые пароли)
2. Файловые уязвимости (Path Traversal, небезопасная загрузка)
3. API уязвимости (недостаточная аутентификация, Mass Assignment)
4. Cross-Site Scripting (XSS)
- Reflected XSS
- Stored XSS
- DOM-based XSS
5. Cross-Site Request Forgery (CSRF)
6. Server-Side Request Forgery (SSRF)
7. Нарушение контроля доступа (IDOR) ⭐️ новое
8. JWT (JSON Web Token) уязвимости ⭐️ новое
9. XXE (XML External Entity) инъекции ⭐️ новое
10. NoSQL инъекции ⭐️ новое
🔄 Что нового в версии 3.0
В третье обновление добавлены 4 новых типа уязвимостей:
- IDOR (Insecure Direct Object References): изучите, как злоумышленники могут получать доступ к чужим данным путём прямого указания идентификаторов объектов
- JWT уязвимости: исследуйте проблемы безопасности с JSON Web Token, включая подделку токенов и использование "none" алгоритма
- XXE инъекции: узнайте, как злоумышленники могут использовать XML-парсеры для чтения системных файлов и выполнения других атак
- NoSQL инъекции: изучите уязвимости, специфичные для нереляционных баз данных, в частности MongoDB
Основные обновления:
- Добавлена новая лаборатория по NoSQL-инъекциям
- Четыре уровня сложности заданий для изучения уязвимостей MongoDB
- Практические задания по обходу аутентификации, манипуляции операторами и инъекциям в агрегационный конвейер
- Подробные решения с примерами кода в едином стиле
- Улучшенный интерфейс всех лабораторий
- Переработан дизайн раздела решений в хакерском стиле
- Улучшена навигация между заданиями
- Добавлены визуальные индикаторы прогресса
- Оптимизация и исправления
- Исправлены ошибки в работе интерактивных элементов
- Оптимизирована загрузка ресурсов
📚 Доступные лаборатории
В текущей версии приложения доступны следующие лаборатории:
1. XSS (Cross-Site Scripting) - изучение различных типов XSS-уязвимостей, включая Reflected, Stored и DOM-based XSS
2. SQL Инъекции - практика эксплуатации уязвимостей SQL-инъекций, обход аутентификации и извлечение данных
3. IDOR (Insecure Direct Object References) - изучение уязвимостей контроля доступа
4. JWT (JSON Web Tokens) - исследование уязвимостей в механизмах аутентификации на основе токенов
5. XXE (XML External Entity) - практика эксплуатации XXE-уязвимостей
6. NoSQL Инъекции - НОВОЕ! Изучение уязвимостей в MongoDB и других NoSQL базах данных
Цена скриптов: 5000 руб. Все последующие обновления бесплатны, после приобретения.
Для заказа, пишите по контакту: @timcore1
Предоставляю Вашему вниманию веб-приложение для изучения типичных уязвимостей веб-безопасности. Только для образовательных целей!
Vulnerable Web App - это образовательная платформа для изучения веб-уязвимостей, разработанная для специалистов по информационной безопасности, студентов и всех, кто интересуется веб-безопасностью. Проект представляет собой набор интерактивных лабораторий, которые позволяют пользователям практиковать обнаружение и эксплуатацию различных уязвимостей в безопасной среде.
🚨 Предупреждение
Это приложение содержит намеренные уязвимости и должно использоваться только в учебных целях в изолированной среде. Не размещайте его на публичных серверах!
📋 Содержание
Приложение демонстрирует следующие уязвимости:
1. Уязвимости аутентификации (SQL-инъекции, слабые пароли)
2. Файловые уязвимости (Path Traversal, небезопасная загрузка)
3. API уязвимости (недостаточная аутентификация, Mass Assignment)
4. Cross-Site Scripting (XSS)
- Reflected XSS
- Stored XSS
- DOM-based XSS
5. Cross-Site Request Forgery (CSRF)
6. Server-Side Request Forgery (SSRF)
7. Нарушение контроля доступа (IDOR) ⭐️ новое
8. JWT (JSON Web Token) уязвимости ⭐️ новое
9. XXE (XML External Entity) инъекции ⭐️ новое
10. NoSQL инъекции ⭐️ новое
🔄 Что нового в версии 3.0
В третье обновление добавлены 4 новых типа уязвимостей:
- IDOR (Insecure Direct Object References): изучите, как злоумышленники могут получать доступ к чужим данным путём прямого указания идентификаторов объектов
- JWT уязвимости: исследуйте проблемы безопасности с JSON Web Token, включая подделку токенов и использование "none" алгоритма
- XXE инъекции: узнайте, как злоумышленники могут использовать XML-парсеры для чтения системных файлов и выполнения других атак
- NoSQL инъекции: изучите уязвимости, специфичные для нереляционных баз данных, в частности MongoDB
Основные обновления:
- Добавлена новая лаборатория по NoSQL-инъекциям
- Четыре уровня сложности заданий для изучения уязвимостей MongoDB
- Практические задания по обходу аутентификации, манипуляции операторами и инъекциям в агрегационный конвейер
- Подробные решения с примерами кода в едином стиле
- Улучшенный интерфейс всех лабораторий
- Переработан дизайн раздела решений в хакерском стиле
- Улучшена навигация между заданиями
- Добавлены визуальные индикаторы прогресса
- Оптимизация и исправления
- Исправлены ошибки в работе интерактивных элементов
- Оптимизирована загрузка ресурсов
📚 Доступные лаборатории
В текущей версии приложения доступны следующие лаборатории:
1. XSS (Cross-Site Scripting) - изучение различных типов XSS-уязвимостей, включая Reflected, Stored и DOM-based XSS
2. SQL Инъекции - практика эксплуатации уязвимостей SQL-инъекций, обход аутентификации и извлечение данных
3. IDOR (Insecure Direct Object References) - изучение уязвимостей контроля доступа
4. JWT (JSON Web Tokens) - исследование уязвимостей в механизмах аутентификации на основе токенов
5. XXE (XML External Entity) - практика эксплуатации XXE-уязвимостей
6. NoSQL Инъекции - НОВОЕ! Изучение уязвимостей в MongoDB и других NoSQL базах данных
Цена скриптов: 5000 руб. Все последующие обновления бесплатны, после приобретения.
Для заказа, пишите по контакту: @timcore1