#uefi
#exploit

Обход Secure Boot через уязвимости в UEFI

Салют, боец! Сегодня мы погрузимся в самые тёмные уголки системы — туда, где живёт UEFI и его хвалёный Secure Boot. Ты узнаешь, что эта “непробиваемая” защита на самом деле имеет слабые места, и я покажу, как их находить и использовать для запуска своего кода. Забудь про теорию из учебников, здесь только хардкор, практика и рабочие инструменты.

Подробнее: https://timrobot.ru/obhod-secure-boot-cherez-uyazvimosti-v-uefi/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#blog
#books

Кусочек из моей новой книги.

Часть 1. Новый старт: твой гараж теперь с AI-турбонаддувом
Глава 1. Добро пожаловать в гараж кодеров 2.0
- Кто мы теперь: кодеры или менеджеры AI? Разбираем новую философию

Помнишь то чувство, когда ты впервые написал скрипт, и он заработал? Чистый кайф. Ты был творцом, демиургом, который из хаоса символов создавал порядок. Ты часами дебажил одну строчку, находил баг и чувствовал себя Шерлоком Холмсом в мире кода. Это была наша игра, наш вайб.

А теперь представь: ты сидишь, смотришь в пустой файл, и тут GitHub Copilot, как слишком усердный джун-стажёр, предлагает тебе готовый код на 50 строк. Ты нажимаешь Tab, и магия происходит. Функция готова. Работает. Но… где кайф? Где борьба? И главный, самый стрёмный вопрос: если он может так, то зачем вообще нужен я?

Этот холодок по спине почувствовал каждый из нас. Паника, отрицание, гнев. "Да это просто glorified автокомплит!", "Он пишет говнокод!", "Это всё пузырь!". Мы пытались отмахнуться, как от назойливой мухи. Но муха оказалась размером с истребитель. И теперь она паркуется в нашей IDE.

Так что, всё? Сворачиваем гараж, продаём ноуты и идём учиться на бариста?

Стоп. Выдыхай.

Давай разберём эту ситуацию как кодеры — без паники и с холодным рассудком.

Проблема не в том, что появился инструмент, который умеет писать код. Проблема в том, что мы привыкли измерять свою крутость количеством написанных строк. Наша самооценка была привязана к процессу набора символов на клавиатуре. И когда этот процесс автоматизировали, мы почувствовали себя так, будто у нас отобрали любимый гаечный ключ.

Но правда в том, что хороший механик ценен не тем, как быстро он крутит гайки. Он ценен умением провести диагностику, понять, где именно стучит движок, и выбрать правильный инструмент для починки.

Мы не становимся менеджерами AI. Это слово отдаёт корпоративным булшитом. Менеджер — это тот, кто раздаёт задачи и следит за KPI. Это не наш вайб.

Мы становимся архитекторами, дирижёрами и пилотами систем, усиленных AI.

Давай по полочкам, в чём разница.

• Оператор конвейера (или менеджер AI): Ему говорят: "Сделай кнопку". Он идёт к AI, пишет промпт: "сделай кнопку". Копирует результат, вставляет. Если что-то не работает — разводит руками. Он не понимает, как это работает. Он просто жмёт на кнопки. Это путь в никуда, потому что завтра AI научится нажимать на кнопки сам.

• Вайб-кодер 2.0 (пилот/архитектор): Ему говорят: "Нам нужна система авторизации". Он не бежит к AI с криком "напиши мне авторизацию". Он сначала думает:
• Архитектура: "Так, здесь лучше подойдёт JWT, а не сессии. Пароли будем хешировать с помощью bcrypt. Нужна защита от брутфорса — добавим rate limiting. Роли пользователей будут храниться в отдельной таблице".
• Декомпозиция: Он разбивает большую задачу на мелкие куски, как мы разбираем сложный баг. "Сначала модель пользователя, потом роуты для регистрации, потом логин, потом middleware для проверки токена".
• Пилотирование AI: И только теперь он обращается к AI, как к своему второму пилоту: "Эй, Copilot, накидай-ка мне boilerplate для Express-роута /register с валидацией email и пароля".

• Критический ревью: Он получает код от AI и смотрит на него взглядом сеньора, который ревьюит пулл-реквест от джуна. "Ага, валидация слабая, надо добавить проверку на сложность пароля. О, а тут он забыл обработать ошибку, если пользователь уже существует. И хеширование лучше вынести в отдельный сервис".

• Ответственность: Он допиливает, рефакторит и пушит код в прод, потому что в git blame будет стоять его имя. Он, а не Скайнет, отвечает за то, что система не упадёт и данные пользователей не утекут.

Чувствуешь разницу? В первом случае ты — придаток к машине. Во втором — ты её командир.

AI — это не замена твоего мозга. Это самый мощный турбонаддув для него. Он берёт на себя рутину: написание бойлерплейта, запоминание синтаксиса редких функций, генерацию тестов. Он освобождает твои когнитивные ресурсы для самого главного — для того, что и делает нас кодерами, а не машинами. Для решения проблем.

#pentest
#mobile

Mobile-пентест: как рвать Android и iOS на куски без джейлбрейка

Здарова, братишка. Снова мы в деле. Сегодня на нашем операционном столе — мобильные приложения. Многие думают, что без рута или джейлбрейка там ловить нечего, мол, «песочница», «безопасность от вендора». Сказки для новичков. Мы-то с тобой знаем: где код — там и дыры. Просто нужно знать, куда копать.

Подробнее: https://timcore.ru/2025/07/17/mobile-pentest-kak-rvat-android-i-ios-na-kuski-bez-dzhejlbrejka/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#pentest
#docker

Контейнерный побег: как из Docker-контейнера пролезть в ядро хоста

Здорово, брат. Снова перед нами стена. Только на этот раз она цифровая — стенки Docker-контейнера. Админы думают, что заперли нас в коробке. Они думают, что cgroups и namespaces — это панацея. Ну что ж, давай покажем им, как мы умеем ломать песочницы. Тема сегодняшнего разбора — Контейнерный побег. Цель — прогрызть дыру до самого ядра хоста. Погнали.

Подробнее: https://timcore.ru/2025/07/17/kontejnernyj-pobeg-kak-iz-docker-kontejnera-prolezt-v-jadro-hosta/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Здравствуйте, дорогие друзья!!!

Предоставляю Вашему вниманию мою новую электронную книгу: «Вайб-кодер от нуля до мастера в эпоху AI»!!!

Объем: 280 страниц.
Цена: 1500 руб.

Ближе к делу: аннотация и что в книге:

Чувствуешь, как мир кода крутанулся с бешеной скоростью? Вчера ты был королём гаража со своим VS Code, а сегодня GitHub Copilot пишет код быстрее, чем ты успеваешь допить утренний кофе. Replit собирает тебе бэкенд прямо в браузере, а Cursor обещает думать за тебя. Кажется, что правила игры изменились навсегда.

Но это не повод паниковать и вешать клаву на гвоздь. Это повод прокачать свой вайб.

Эта книга — твой личный гид по новому дивному миру, написанный твоим корешем по коду. Мы не будем зубрить скучную теорию. Мы сядем в нашем гараже, заведём движок и разберём по болтам главных AI-агентов, которые уже стучатся в твою IDE. GitHub Copilot, Cursor, Replit — мы превратим их из непонятной магии в твой личный турбонаддув.

Внутри ты найдешь:

Путь от нуля до мастера в мире, где AI — твой второй пилот. Мы пройдём всё: от первого "Hello, AI!" до деплоя полноценного проекта на React и Node.js.

Честный разбор AI-инструментов: без маркетинговой шелухи. Мы будем не только хвалить, но и рофлить над багами, которые генерит AI, и учиться фиксить его "гениальные" идеи.

Вайб, а не просто код: Мы научимся не просто копипастить сгенерированные куски, а думать как архитектор, который управляет мощной системой.

Главу, которую ты не найдешь в других книгах: Мы по-мужски поговорим про этику и копирайт. Чей это код, когда его написал AI? Как не запушить в прод чужую лицензию и не получить повестку в суд вместо оффера?

Эта книга — не про то, как стать оператором нейронки. Она про то, как остаться вайб-кодером: креативным, думающим и дерзким инженером, для которого AI — это просто самый мощный гаечный ключ в арсенале.

Готов завести движок в новой реальности? Тогда открывай первую страницу.

Мы в коде.

Содержание: https://vk.com/hacker_timcore?w=wall-44038255_10761

Для приобретения, пишите по контакту: @timcore1

#blog
#programming

Добавил новую книгу: «Вайб-кодер: от нуля до мастера в эпоху AI» на обучающую платформу.

Теперь можно оплатить кредиткой или сплитануть.

Вот ссылка на цифровой товар: https://timcourse.ru/courses/elektronnaya-kniga-vajb-koder-ot-nulya-do-mastera-v-epohu-ai/

#bug_bounty
#bug_hunting

Unsafe Default Creds в Docker-образах: братан, это твой билет в админку

Эй, бро, ты снова в подвале с бургером? Ладно, давай разберём эту хрень с unsafe default creds в докер-образах. Эти дефолтные креды — как твоя бывшая: обещают безопасность, а на деле оставляют дверь нараспашку для любого script kiddie. Мы выловим их, как 0-day в legacy-говне.

Подробнее: https://timcourse.ru/unsafe-default-creds-v-docker-obrazah-bratan-eto-tvoj-bilet-v-adminku/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

Unsafe redirect в мобильных приложениях

Что вижу: Unsafe redirect в мобильных приложениях — это когда твой андроид/iOS-монстр слепо следует за любым URL’ом из deep link’а или webview, без валидации. Пример: intent://evil.com#Intent;scheme=http;end в Android, или universal link в iOS, ведущий на фишинговый сайт. Это не баг, это приглашение на чай к phishing-акулам.

Подробнее: https://timcourse.ru/unsafe-redirect-v-mobilnyh-prilozheniyah/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

ИИ как сыщик: как искусственный интеллект разгадывает цифровые загадки (но иногда путает следы)

Эй, привет из цифровых окопов. Сегодня разберём, как ИИ и машинное обучение (ML) играют в Шерлока Холмса в мире киберпреступлений. Они автоматизируют анализ данных, вылавливают аномалии и даже предсказывают угрозы, но спойлер: эти “умные” жестянки иногда видят призраков там, где их нет. Мы поговорим о плюсах, примерах и, главное, о том, почему слепая вера в ИИ — это билет в один конец к эпичному фейлу. Не повторяйте мои трюки дома, я серьёзно — закон превыше всего.

Подробнее: https://timforensics.ru/ii-kak-syshhik-kak-iskusstvennyj-intellekt-razgadyvaet-czifrovye-zagadki-no-inogda-putaet-sledy/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Облачная форензика: копаем в тучах, где данные прячутся лучше, чем в сейфе

Привет из цифрового подполья. Я — ваш проводник в мир форензики и OSINT, и сегодня мы лезем в облака. Не в те, что на небе, а в Google Drive, AWS и прочие “тучи”, где данные прячутся так, что любой сейф позавидует. Мы разберём, как извлекать улики из облачных хранилищ, столкнёмся с шифрованием, кросс-граничными заморочками и инструментами анализа. Плюс, я поделюсь кейсами, где “невидимые” файлы стали ключом к разгадке. И да, предупреждение с порога: облако — это удобно, но оно может “утечь” в любой момент, так что держите глаза открытыми. Не повторяйте трюки без ордера, я серьёзно — закон превыше всего.

Подробнее: https://timforensics.ru/oblachnaya-forenzika-kopaem-v-tuchah-gde-dannye-pryachutsya-luchshe-chem-v-sejfe/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

🚀 Сенсация в мире IT! Польский программист Пшемыслав "Psyho" Дэмбяк стал чемпионом мира по программированию! 🚀

Друзья, только представьте: 42-летний поляк Пшемыслав Дэмбяк (известный как Psyho) обошёл не только лучших кодеров планеты, но и супер-ИИ от OpenAI на турнире AtCoder World Tour Finals 2025 в Токио! Это был настоящий 10-часовой марафон с задачами уровня NP-hard — теми, где даже машины пасуют, а нужно применять хитрые эвристики.

Psyho, бывший сотрудник OpenAI, без высшего образования и опыта работы по найму, показал, что человеческий мозг пока сильнее алгоритмов. Разрыв с ИИ составил почти 10%! После победы он написал: "Человечество победило (пока что)! Я еле живой, за три дня спал всего 10 часов".

Даже глава OpenAI Сэм Альтман поздравил: "Отличная работа, Psyho". В юности парень мечтал быть супергероем или диджеем, а стал легендой кодинга!

#Программирование #AI #ЧемпионМира

#ai
#exploit

Выжимка топовых AI-эксплойтов месяца

Вот выжимка по наиболее обсуждаемым и значимым AI-эксплойтам за последний месяц (июнь–июль 2025)

Подробнее: https://timneuro.ru/vyzhimka-topovyh-ai-eksplojtov-mesyacza/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

MitM на gRPC

Что вижу: gRPC-сервер, висящий на порту 50051 без TLS (проверено nmap -p 50051 -sV: «grpc» без ssl), headers орут HTTP/2 в plaintext, а в reflection API торчит /grpc.reflection.v1alpha.ServerReflection/ServerReflectionInfo — классический misconfig для незащищенных микросервисов. Это не API, братан, это открытая дверь в подвале с табличкой «Входи, хакер».

Подробнее: https://timcourse.ru/mitm-na-grpc/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

Баги в webhooks

Что вижу: Webhook endpoint на /webhook/receive, который глотает POST без верификации (headers: Content-Type: application/json, но без HMAC или sig check), и в payload’е видны поля вроде {«event»: «user_created», «data»: {«id»: 1337, «secret»: «plaintext_shit»}} — классический misconfig, где любой может спуфить события. Это не webhook, братан, это бесплатный билет на IDOR-party, с артефактом в виде exposed /api/webhooks/config в robots.txt (да, проверь, там часто валяются).

Подробнее: https://timcourse.ru/bagi-v-webhooks/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.