#forensics

Шпионские игры в JPEGs: как найти секретные данные, спрятанные в картинках с котиками

Каждый день ты скроллишь ленту и видишь сотни картинок: мемы, фотки из отпусков, гифки и, конечно, котиков. Миллионы котиков. Они выглядят невинно, глупо, мило. Но что, если я скажу, что какой-нибудь из этих пушистых засранцев на самом деле — цифровой контейнер, перевозящий украденные пароли, секретные чертежи или инструкции для спящей ячейки террористов?

Подробнее: https://timforensics.ru/shpionskie-igry-v-jpegs-kak-najti-sekretnye-dannye-spryatannye-v-kartinkah-s-kotikami/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#blog@timneuro
#openai@timneuro

OpenAI активно переманивает инженеров из Apple для работы над своим первым железом, которое планируется к выпуску в 2026–27 годах

Компания OpenAI, известная своим чат-ботом ChatGPT, активно нанимает инженеров и дизайнеров из Apple для разработки своего первого потребительского аппаратного продукта. Этот шаг является частью амбициозной стратегии по созданию новой категории устройств, изначально ориентированных на искусственный интеллект, и бросает вызов таким гигантам, как Apple и Google. Выпуск первого устройства запланирован на конец 2026 или начало 2027 года.

Подробнее: timneuro.ru/openai-akt...

Другие наши проекты:

timcore.ru/
timcourse.ru/
timforensics.ru/
tarasovinvest.ru/
mikhailtarasovcom.ru/
timrobot.ru/
timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
t.me/timcore_ha...
t.me/school_tim...
t.me/programmer...
t.me/timneuro_t...

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#xss

3,000$ Bug Bounty Rewards from Microsoft Forms: Reflected XSS Vulnerability

https://www.youtube.com/watch?v=pjbaZYEYQV8

#bug_bounty
#yandex

Максим Брагин — Опыт участия в багбаунти Яндекса

https://www.youtube.com/watch?v=yB9JkaFClG8

Дневник Хакера: Качаем мозг и готовим iptables 🧠💣

Салют, банда! Сегодня был день смешанных единоборств: половину времени бодался с непокорным сервером, а другую — вливал в себя новые знания. Потому что лучший эксплойт — это твой собственный мозг. 🤓

Часть 1: Битва за gRPC (продолжение) 💥
Итак, наша драма с *.yandex.ru продолжается. Напомню: их WAF сносит мой grpcurl на взлёте, а все попытки загнать его в Burp провалились. grpcurl упрямый, как админ, который не меняет пароль admin:admin. 😅
Сегодняшний план был один — ядерный. ☢️ Раз утилита не хочет идти в прокси по-хорошему, мы заставим её по-плохому. План “Б”, а точнее “И” — iptables. Идея простая: завернуть весь TCP-трафик на 443 порт цели прямо в лапы моему Burp’у. От такого не увернётся никто. Но это я оставил на десерт. 🍮

Часть 2: Прокачка скиллов 🏋️‍♂️
Даже в разгар боя нужно точить топор. Сегодня я засел за теорию и пересмотрел несколько крутых видосов. Делюсь с вами, вдруг тоже пригодится:

1. “ПОЛНЫЙ гайд по Burp Suite для начинающих!” от CyberYozh.
Да, я знаю Burp как свои пять пальцев, но повторение — мать учения. Освежил в памяти работу с Repeater и Intruder. Иногда в базовых вещах кроется ключ к сложной атаке. 🛠️
2. “Как стать охотником за уязвимостями? Полный гайд по Bug Bounty!” от него же.
Полезно, чтобы снова поймать правильный вайб. Recon, выбор программы, скоуп… Вроде всё знаешь, но свежий взгляд помогает не закопаться в рутине. 🎯
3. “Опыт участия в багбаунти Яндекса”
А вот это уже узкоспециализированная тема. Слушать про опыт других на той же платформе, которую ковыряешь сам, — бесценно. Помогает понять, как мыслят их секьюрити-инженеры. 🧠
Итог дня: мозг заряжен, iptables наготове. Завтра продолжим нашу осаду. Этот gRPC-сервис заговорит.

#ДневникХакера

С почином. Первая выплата с площадки Standoff 365.

Где-то меньше месяца работы, куча опыта и эмоций, как положительных, так и не очень.

P.S. Ресурс государственный, так что такая скромная цифра.

#fuzzing
#ml

Интеграция машинного обучения в фаззинг: находим баги быстрее

Фаззинг — это наш хлеб с маслом. Мы скармливаем программе тонны мусорных данных и ждём, когда она упадёт. Классика, как AFL или libFuzzer, работает, но часто вслепую, как пьяный сапёр на минном поле. Пришло время прокачать этот процесс и добавить ему мозгов с помощью машинного обучения (ML).

Подробнее: https://timrobot.ru/integracziya-mashinnogo-obucheniya-v-fazzing-nahodim-bagi-bystree/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bypass
#payload

Обход антивирусов через шифрование пейлоада

Антивирусы — это как сторожевые псы. Они обучены узнавать “плохих парней” по запаху (сигнатурам) и поведению (эвристика). Но что, если наш “плохой парень” наденет чужой костюм и надушится ромашкой? Именно этим мы и займёмся. Шифрование пейлоада — классический, как АК-47, и до сих пор чертовски эффективный способ проскользнуть мимо статического анализа.

Подробнее: https://timrobot.ru/obhod-antivirusov-cherez-shifrovanie-pejloada/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#tools

Топ-10 инструментов для багхантеров / Начинаем в багбаунти

https://www.youtube.com/watch?v=3XBjvKReQ1w

#blog@timneuro
#tunaai@timneuro

Инженеры-биомедики из Duke University разработали платформу TuNa-AI

Инженеры-биомедики из Университета Дьюка разработали инновационную платформу TuNa-AI, которая объединяет искусственный интеллект (ИИ) и роботизированные лабораторные методы для ускорения и оптимизации создания наночастиц, используемых для доставки лекарств. Этот подход открывает новые перспективы для более эффективной и безопасной доставки сложных терапевтических препаратов

Подробнее: timneuro.ru/inzhenery-...

Другие наши проекты:

timcore.ru/
timcourse.ru/
timforensics.ru/
tarasovinvest.ru/
mikhailtarasovcom.ru/
timrobot.ru/
timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
t.me/timcore_ha...
t.me/school_tim...
t.me/programmer...
t.me/timneuro_t...

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Твоя машина знает всё: что расскажет бортовой компьютер о твоих поездках (и не только)

Думаешь, твой самый большой секрет — это история поиска в браузере? Как наивно. Твоя машина знает о тебе больше, чем твоя собственная мать, и, в отличие от неё, не забудет ни одной детали.

Подробнее: https://timforensics.ru/tvoya-mashina-znaet-vsyo-chto-rasskazhet-bortovoj-kompyuter-o-tvoih-poezdkah-i-ne-tolko/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Вскрываем «мозги» железа: форензика прошивок для тех, кто не боится паяльника

Считаешь себя крутым, потому что умеешь восстанавливать удаленные файлы с флешки? Похвально. Но пока ты копаешься в песочнице, настоящие специалисты вскрывают «мозги» железа. Сегодня мы поговорим о форензике прошивок — высшем пилотаже, где вместо мышки и клавиатуры твоими главными инструментами становятся паяльник и логический анализатор.

Подробнее: https://timforensics.ru/vskryvaem-mozgi-zheleza-forenzika-proshivok-dlya-teh-kto-ne-boitsya-payalnika/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Дневник хакера: Два дня в цифровых окопах: мой штурм SSO! 💥

Всем салют! 🤘 Решил поделиться, чем занимался последние 48 часов. Ушёл с головой в пентест SSO одного крупного сервиса. Думал, будет лёгкая прогулка? Ага, сейчас.

День 1: Разведка и лобовая атака 🕵️‍♂️
Начал с базы: прогнал ffuf и dirsearch по всем сабдоменам. Нашёл жирный эндпоинт, который просто умолял проверить его на XSS. 😈
Зарядил свой любимый Burp Intruder, скормил ему словари от Jhaddix и дал огня. Но WAF там оказался не для красоты — все мои пейлоады отлетали, как от стенки горох. Длина ответов была одинаковой, что говорило о хорошей фильтрации. 🧱
Вывод: С Reflected XSS тут ловить нечего.

День 2: Поворот на Open Redirect 🔄
Раз код не засунуть, решил попробовать увести юзера. Нашёл два эндпоинта, которые отвечали за редиректы:
1. /push?retpath=
2. /api/auth/web/autologin-vk?redirectUrl=
Протестировал все свои коронные трюки: //evil.com, ***.ru@evil.com, двойное URL-кодирование. Но их бэкенд оказался на стрёме. На каждый мой выпад сервер отвечал 302 Found, но редиректил на свою же страницу. Валидация домена на месте. 👨‍💻

Итог: Я исключил два мёртвых вектора и собрал кучу инфы об их защите. Это не поражение, это ценные разведданные! 💪

План на завтра: Хватит этих детских игр. Пора штурмовать цитадель — основной OAuth 2.0 эндпоинт. Буду ломать логику redirect_uri, мучать scope и client_id. Настоящий хардкор только начинается! 💣

Stay tuned! Завтра будет интересно. 😎

#ДневникХакера #BugBounty #Pentest #RedTeam #Hacking #OAuth #OpenRedirect #0day

#blog

Дошел до 900 000 рублей по выручке в этом году со своего микробизнеса.

#blog

Годовой книжный челлендж завершен: 100 книг за 2025 год прочитаны

Годовой книжный челлендж завершен: 100 книг за 2025 год прочитаны. Это уже восьмой год моего литературного эксперимента, который я начал в 2017 году, и за все время было освоено более 1100 книг. Этот вызов давно перестал быть просто развлечением — он превратился в систему развития, профессионального роста и личного баланса.

Подробнее: https://mikhailtarasovcom.ru/godovoj-knizhnyj-chellendzh-zavershen-100-knig-za-2025-god-prochitany/

#bug_bounty
#idor

Начинаем в багбаунти: ищем первые уязвимости некорректной настройки прав (Access Control / IDOR)

https://www.youtube.com/watch?v=whDnzTvBzjs

#ДневникХакера 🤘

Всем салют, народ! На связи. 💻

Сегодня был тот ещё денёк. Попалась цель — как крепость, на первый взгляд. Светится, блестит, но все мои попытки пробиться — в молоко. WAF (Web Application Firewall) оказался лютым, рубил все payload’ы на корню. 🥅 LFI? 403 Forbidden. SQL-инъекция? Тишина. Даже RCE-payload’ы сервер переваривал, как ни в чём не бывало. Я уж было подумал, что придётся по-взрослому раскочегаривать Burp Suite…

…но тут, как в старом добром анекдоте, нашлась лазейка. 😈

Решил копнуть старый легаси-код (отголоски Microsoft из нулевых, вы же знаете). И что вы думаете? Файрвол на уровне хостинга не выдержал моего напора и просто выплюнул страницу-заглушку. А там — весь расклад: и IP, и, самое сочное, реальное имя хоста сервера. 🍔

Это был тот самый момент, когда понимаешь: ломился не в ту дверь. Зачем взламывать замок, если админ сам оставил ключ под ковриком?

Мораль дня: самая навороченная защита может пасть из-за одной мелкой ошибки в конфиге. OpSec (операционная безопасность) — не просто модное слово. Админы, следите за своими системами, а то придёт кто-нибудь вроде меня и завернёт всё в красивый отчёт! 😉

NDA, сами понимаете, язык держу за зубами. Но было весело — классический pivot с веб-приложения на инфраструктуру.
Всем пис! Не забывайте про обфускацию и юзайте правильные инструменты! 🤘

#хакинг #кибербез #bugbounty #pentest #redteam

Здравствуйте, дорогие друзья!

Стартует жаркая акция на мою электронную книгу — «Вайб-кодер: от нуля до мастера в эпоху AI»!
Только 3 дня: с 29 сентября по 1 октября действует скидка 33%. Успей забрать книгу за 1000 руб. вместо 1500 руб.

Почему именно эта книга?

Мир кода меняется быстрее, чем ты успеваешь открывать VS Code. GitHub Copilot пишет куски кода за тебя, Cursor общается с проектом как настоящий тимлид, а Replit собирает бэкенд прямо в облаке. Уже не важно, сколько ты печатаешь в минуту — важно, умеешь ли ты управлять этой новой силой.
И именно этому посвящена моя книга. Она — твой практичный и честный гид в эпоху AI-разработки. Без занудства, с юмором и реальными кейсами.

Что тебя ждёт внутри?
• Путь от нуля до мастера — от «Hello, AI!» до деплоя проекта на React и Node.js.
• Разбор GitHub Copilot, Cursor и Replit без маркетинговой шелухи.
• Реальные баги и фейлы AI, их разбор и исправление.
• Практические примеры: фронтенд, бэкенд, базы данных, CI/CD.
• Взгляд в будущее: этика, копирайт и философия вайб-кодера.
• Финальный вайб — кодинг остаётся твоим творчеством, а нейросети — лишь инструмент.

Для кого книга?
Для студентов, начинающих программистов, джунов и даже матерых разработчиков, которые хотят прокачать свою работу с AI-инструментами и оставаться в игре.

⚡ Цена вне акции: 1500 руб.
🔥 Цена сейчас (до 1 октября включительно): 1000 руб.
(Раньше предзаказ был 900 руб., но акция — это твой шанс урвать по выгодной цене, пока она ещё не взлетела обратно!)

Ты готов завести движок своего кода в новой реальности?

Тогда бронируй свой экземпляр сейчас.

Мы в коде. 🚀

Содержание: https://vk.com/hacker_timcore?w=wall-44038255_10761

Для приобретения, пишите по контакту в телеграм: @timcore1

#bug_bounty
#bug_hunting

JWT KID Header атака — когда подписи проверяются по файлу kid=/etc/passwd

JWT (JSON Web Token) придумали как священный грааль авторизации: «вот, у нас всё подписано, всё безопасно». На деле оказалось, что если разработчик рукожоп — подпись превращается из крипты в «cat /etc/passwd через заголовок».

Подробнее: https://timcourse.ru/jwt-kid-header-ataka-kogda-podpisi-proveryayutsya-po-fajlu-kid-etc-passwd/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.