#forensics
«Крот в офисе: как вычислить корпоративного шпиона с помощью цифровых улик»
В эпоху, когда данные стоят дороже нефти, корпоративный шпион — это не вымышленный злодей из шпионских триллеров, а реальная угроза, которая может слить ваши секреты конкурентам быстрее, чем вы скажете “утечка данных”. В этой статье я расскажу, как вычислить такого “крота” с помощью цифровых улик — без нарушения законов и с долей цинизма.
Подробнее: https://timforensics.ru/krot-v-ofise-kak-vychislit-korporativnogo-shpiona-s-pomoshhyu-czifrovyh-ulik/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
«Крот в офисе: как вычислить корпоративного шпиона с помощью цифровых улик»
В эпоху, когда данные стоят дороже нефти, корпоративный шпион — это не вымышленный злодей из шпионских триллеров, а реальная угроза, которая может слить ваши секреты конкурентам быстрее, чем вы скажете “утечка данных”. В этой статье я расскажу, как вычислить такого “крота” с помощью цифровых улик — без нарушения законов и с долей цинизма.
Подробнее: https://timforensics.ru/krot-v-ofise-kak-vychislit-korporativnogo-shpiona-s-pomoshhyu-czifrovyh-ulik/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
«Крот в офисе: как вычислить корпоративного шпиона с помощью цифровых улик» | Форензика
В эпоху, когда данные стоят дороже нефти, корпоративный шпион — это не вымышленный злодей из шпионских триллеров, а реальная угроза, которая может слить
#forensics
«Кладбище цифровых данных: почему «удалить навсегда» — это сказка для маркетологов»
В цифровом мире данные не умирают — они просто прячутся в тени, ожидая, пока какой-нибудь форензик не вытащит их на свет. Маркетологи обещают “удалить навсегда” одним кликом, но это такая же сказка, как вечная любовь в голливудских фильмах: красиво звучит, но на практике — сплошной обман.
Подробнее: https://timforensics.ru/kladbishhe-czifrovyh-dannyh-pochemu-udalit-navsegda-eto-skazka-dlya-marketologov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
«Кладбище цифровых данных: почему «удалить навсегда» — это сказка для маркетологов»
В цифровом мире данные не умирают — они просто прячутся в тени, ожидая, пока какой-нибудь форензик не вытащит их на свет. Маркетологи обещают “удалить навсегда” одним кликом, но это такая же сказка, как вечная любовь в голливудских фильмах: красиво звучит, но на практике — сплошной обман.
Подробнее: https://timforensics.ru/kladbishhe-czifrovyh-dannyh-pochemu-udalit-navsegda-eto-skazka-dlya-marketologov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
«Кладбище цифровых данных: почему «удалить навсегда» — это сказка для маркетологов» | Форензика
В цифровом мире данные не умирают — они просто прячутся в тени, ожидая, пока какой-нибудь форензик не вытащит их на свет. Маркетологи обещают "удалить
Forwarded from Нейро Мастер
#blog@timneuro
#claude@timneuro
Claude Sonnet 4.5 — лучшая на сегодняшний день модель для программирования
Claude Sonnet 4.5 от Anthropic представляет собой наиболее продвинутую языковую модель для задач программирования на октябрь 2025 года, превосходящую конкурентов по точности кода, скорости генерации и интеграции с инструментами разработки. Эта модель сочетает в себе улучшенные алгоритмы обучения, оптимизированные для сложных сценариев кодирования, и делает её идеальным инструментом для разработчиков, ethical хакеров и AI-исследователей.
Подробнее: https://timneuro.ru/claude-sonnet-4-5-luchshaya-na-segodnyashnij-den-model-dlya-programmirovaniya/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
[Ссылка]
Claude Sonnet 4.5 — лучшая на сегодняшний день модель для программирования — Нейро Мастер
https://timneuro.ru/claude-sonnet-4-5-luchshaya-na-segodnyashnij-den-model-dlya-programmirovaniya/
#claude@timneuro
Claude Sonnet 4.5 — лучшая на сегодняшний день модель для программирования
Claude Sonnet 4.5 от Anthropic представляет собой наиболее продвинутую языковую модель для задач программирования на октябрь 2025 года, превосходящую конкурентов по точности кода, скорости генерации и интеграции с инструментами разработки. Эта модель сочетает в себе улучшенные алгоритмы обучения, оптимизированные для сложных сценариев кодирования, и делает её идеальным инструментом для разработчиков, ethical хакеров и AI-исследователей.
Подробнее: https://timneuro.ru/claude-sonnet-4-5-luchshaya-na-segodnyashnij-den-model-dlya-programmirovaniya/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
[Ссылка]
Claude Sonnet 4.5 — лучшая на сегодняшний день модель для программирования — Нейро Мастер
https://timneuro.ru/claude-sonnet-4-5-luchshaya-na-segodnyashnij-den-model-dlya-programmirovaniya/
Нейро Мастер
Claude Sonnet 4.5 — лучшая на сегодняшний день модель для программирования — Нейро Мастер
Главная / Блог / Claude Sonnet 4.5 — лучшая на сегодняшний день модель для программирования Claude Sonnet 4.5 — лучшая на сегодняшний день модель дл
Здравствуйте, дорогие друзья!
🔥 Акция на 3 книги по хакингу: -60% скидка!
Только 3 дня — со 2 по 4 октября! Три книги по цене одной: всего 1300 рублей вместо 3900.
Получи мощный арсенал знаний по кибербезопасности на трёх языках программирования. Это не просто теория — это практические навыки для реальных задач в Bug Bounty, пентестинге и разработке безопасного кода.
Что входит в набор
1. «Хакинг на JavaScript 2.0» — от XSS-эксплойтов до создания C2-серверов на Node.js. Научишься обходить WAF, писать парсеры и автоматизировать атаки. 8 глав практики + этика Bug Bounty.
Полное содержание → https://vk.com/hacker_timcore?w=wall-44038255_10673
2. «Хакинг на Ruby» — сетевое программирование, взлом паролей, веб-сканеры уязвимостей и автоматизация пентестинга. С тестами и вопросами для самопроверки после каждого раздела.
Полное содержание → https://vk.com/market/product/elektronnaya-kniga-khaking-na-ruby-44038255-9553339
3. «Хакинг на Rust» — фаззинг, обход DEP/ASLR, эксплуатация уязвимостей памяти и создание безопасного кода. Язык будущего для критичных систем.
Полное содержание → https://vk.com/hacker_timcore?w=wall-44038255_10652
Почему стоит взять
Три языка = три подхода к безопасности. JavaScript для веб-атак, Ruby для быстрой автоматизации, Rust для низкоуровневого контроля. Все книги с реальными кейсами, примерами кода и фокусом на этичный хакинг.
Акция действует 72 часа. После 4 октября цена вернётся к обычной.
Прокачай скиллы сейчас — завтра может быть поздно.
Для приобретения пишите с по контакту в тг: @timcore1
🔥 Акция на 3 книги по хакингу: -60% скидка!
Только 3 дня — со 2 по 4 октября! Три книги по цене одной: всего 1300 рублей вместо 3900.
Получи мощный арсенал знаний по кибербезопасности на трёх языках программирования. Это не просто теория — это практические навыки для реальных задач в Bug Bounty, пентестинге и разработке безопасного кода.
Что входит в набор
1. «Хакинг на JavaScript 2.0» — от XSS-эксплойтов до создания C2-серверов на Node.js. Научишься обходить WAF, писать парсеры и автоматизировать атаки. 8 глав практики + этика Bug Bounty.
Полное содержание → https://vk.com/hacker_timcore?w=wall-44038255_10673
2. «Хакинг на Ruby» — сетевое программирование, взлом паролей, веб-сканеры уязвимостей и автоматизация пентестинга. С тестами и вопросами для самопроверки после каждого раздела.
Полное содержание → https://vk.com/market/product/elektronnaya-kniga-khaking-na-ruby-44038255-9553339
3. «Хакинг на Rust» — фаззинг, обход DEP/ASLR, эксплуатация уязвимостей памяти и создание безопасного кода. Язык будущего для критичных систем.
Полное содержание → https://vk.com/hacker_timcore?w=wall-44038255_10652
Почему стоит взять
Три языка = три подхода к безопасности. JavaScript для веб-атак, Ruby для быстрой автоматизации, Rust для низкоуровневого контроля. Все книги с реальными кейсами, примерами кода и фокусом на этичный хакинг.
Акция действует 72 часа. После 4 октября цена вернётся к обычной.
Прокачай скиллы сейчас — завтра может быть поздно.
Для приобретения пишите с по контакту в тг: @timcore1
🎯 Дневник хакера
03.10.2025
Сегодня поохотился на баунти в крупной программе (NDA, не светим 🤫)
📊 РЕЗУЛЬТАТЫ
⏱ 5 часов работы
🐛 3 уязвимости
💰 50-85k ₽ потенциал
🎁 ЧТО НАШЁЛ
#1 SSL/TLS Misconfiguration
→ Сервер не отдаёт сертификат
→ 30-40k ₽
#2 FTP Banner Disclosure
→ Раскрывает софт + версию
→ 15-30k ₽
#3 DNS Infrastructure Leak
→ Testing/staging в public DNS
→ 5-15k ₽
💡 ИНСАЙТ
Не нужны 0day, чтобы зарабатывать на баунти. Банальные misconfiguration’ы дают 12k+ ₽/час 🔥
📈 ДАЛЬШЕ
Завтра:
→ Отправить репорты
→ Payment widget analysis
→ API IDOR hunting
Потенциал: +200-400k ₽ 💎
90 дней NDA | Full write-up после disclosure
#bugbounty #cybersecurity #ethicalhacking
03.10.2025
Сегодня поохотился на баунти в крупной программе (NDA, не светим 🤫)
📊 РЕЗУЛЬТАТЫ
⏱ 5 часов работы
🐛 3 уязвимости
💰 50-85k ₽ потенциал
🎁 ЧТО НАШЁЛ
#1 SSL/TLS Misconfiguration
→ Сервер не отдаёт сертификат
→ 30-40k ₽
#2 FTP Banner Disclosure
→ Раскрывает софт + версию
→ 15-30k ₽
#3 DNS Infrastructure Leak
→ Testing/staging в public DNS
→ 5-15k ₽
💡 ИНСАЙТ
Не нужны 0day, чтобы зарабатывать на баунти. Банальные misconfiguration’ы дают 12k+ ₽/час 🔥
📈 ДАЛЬШЕ
Завтра:
→ Отправить репорты
→ Payment widget analysis
→ API IDOR hunting
Потенциал: +200-400k ₽ 💎
90 дней NDA | Full write-up после disclosure
#bugbounty #cybersecurity #ethicalhacking
🔐 Дневник хакера | Пентест крупного социального проекта
Сегодня тестировал крупный социальный проект (NDA). Laravel, CDN, 10+ поддоменов. Потратил 4 часа — нашёл 3 уязвимости.
🎯 Находки:
1️⃣ Небезопасные cookies (MEDIUM | CVSS 6.5)
Session cookies без флагов HTTPOnly и Secure на нескольких поддоменах. Проверил через curl и DevTools —
2️⃣ Self-signed SSL (MEDIUM | CVSS 5.3)
Сертификат с CN=localhost на production. Пользователи видят “Ваше соединение не защищено” и привыкают игнорировать warnings. При реальной MITM-атаке они даже не заметят подмену. Проблема недооценена.
3️⃣ Deprecated TLS 1.0/1.1 (LOW | CVSS 4.0)
5 хостов всё ещё поддерживают TLS из 1999 года. RFC 8996 deprecated их в 2020, есть уязвимости BEAST/POODLE, нарушает PCI DSS. В 2025 это недопустимо.
🔨 Что ещё тестил:
• SQLi (sqlmap) → защищено ✅
• XSS → фильтруется ✅
• Laravel endpoints (.env, telescope) → закрыты ✅
• IDOR → 404/denied ✅
• File upload → требует auth (завтра копну)
📊 Итог:
✅ 3 репорта готовы к отправке на bug bounty платформу
✅ Инфраструктура защищена хорошо, но базовые вещи (SSL, cookies, TLS) подкачали
✅ Завтра тестирую authenticated функционал
🔧 Tools:
subfinder, nuclei, curl, openssl, sqlmap, DevTools
💭 Вывод:
Даже на защищённых проектах инфраструктурные проблемы остаются. Security ≠ только secure code. Это весь стек: от TLS до cookies.
P.S. Разработчики, не забывайте про базу:
Валидные SSL от Let’s Encrypt
Отключение TLS 1.0/1.1
Три простых действия → 90% инфраструктурных рисков закрыты 🔒
#bugbounty #websecurity #pentesting #ethicalhacking
Сегодня тестировал крупный социальный проект (NDA). Laravel, CDN, 10+ поддоменов. Потратил 4 часа — нашёл 3 уязвимости.
🎯 Находки:
1️⃣ Небезопасные cookies (MEDIUM | CVSS 6.5)
Session cookies без флагов HTTPOnly и Secure на нескольких поддоменах. Проверил через curl и DevTools —
document.cookie выдаёт всё. Любой XSS = кража сессии = взлом аккаунта. Классика! 🍪2️⃣ Self-signed SSL (MEDIUM | CVSS 5.3)
Сертификат с CN=localhost на production. Пользователи видят “Ваше соединение не защищено” и привыкают игнорировать warnings. При реальной MITM-атаке они даже не заметят подмену. Проблема недооценена.
3️⃣ Deprecated TLS 1.0/1.1 (LOW | CVSS 4.0)
5 хостов всё ещё поддерживают TLS из 1999 года. RFC 8996 deprecated их в 2020, есть уязвимости BEAST/POODLE, нарушает PCI DSS. В 2025 это недопустимо.
🔨 Что ещё тестил:
• SQLi (sqlmap) → защищено ✅
• XSS → фильтруется ✅
• Laravel endpoints (.env, telescope) → закрыты ✅
• IDOR → 404/denied ✅
• File upload → требует auth (завтра копну)
📊 Итог:
✅ 3 репорта готовы к отправке на bug bounty платформу
✅ Инфраструктура защищена хорошо, но базовые вещи (SSL, cookies, TLS) подкачали
✅ Завтра тестирую authenticated функционал
🔧 Tools:
subfinder, nuclei, curl, openssl, sqlmap, DevTools
💭 Вывод:
Даже на защищённых проектах инфраструктурные проблемы остаются. Security ≠ только secure code. Это весь стек: от TLS до cookies.
P.S. Разработчики, не забывайте про базу:
Secure; HTTPOnly; SameSite=Lax для cookiesВалидные SSL от Let’s Encrypt
Отключение TLS 1.0/1.1
Три простых действия → 90% инфраструктурных рисков закрыты 🔒
#bugbounty #websecurity #pentesting #ethicalhacking
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
gRPC Reflection Misconfig — полный schema dump и вызов приватных методов
Окей, слушай, бро. gRPC Reflection — это когда девелоперы настолько добрые (читай: ленивые), что оставляют включенным служебный endpoint, который сливает ВЕСЬ API schema — каждый метод, каждый параметр, каждую структурку данных. Представь, что ты нашёл swagger.json на проде, но только для grpc и без авторизации. Это золотая жила для багхантера, потому что теперь ты знаешь, какие приватные админские методы спрятаны в недрах бэкенда.
Подробнее: https://timcourse.ru/grpc-reflection-misconfig-polnyj-schema-dump-i-vyzov-privatnyh-metodov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
gRPC Reflection Misconfig — полный schema dump и вызов приватных методов
Окей, слушай, бро. gRPC Reflection — это когда девелоперы настолько добрые (читай: ленивые), что оставляют включенным служебный endpoint, который сливает ВЕСЬ API schema — каждый метод, каждый параметр, каждую структурку данных. Представь, что ты нашёл swagger.json на проде, но только для grpc и без авторизации. Это золотая жила для багхантера, потому что теперь ты знаешь, какие приватные админские методы спрятаны в недрах бэкенда.
Подробнее: https://timcourse.ru/grpc-reflection-misconfig-polnyj-schema-dump-i-vyzov-privatnyh-metodov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
gRPC Reflection Misconfig — полный schema dump и вызов приватных методов — Авторские курсы Михаила Тарасова
Окей, слушай, бро. gRPC Reflection — это когда девелоперы настолько добрые (читай: ленивые), что оставляют включенным служебный endpoint, который сливает ВЕСЬ API schema — каждый метод, каждый параметр, каждую структурку данных. Представь, что ты нашёл swagger.json…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
NoSQL injection через nested массивы — Mongo любит странные payload’ы с
Слушай, бро, если ты думаешь, что NoSQL — это безопасная альтернатива SQL, у меня для тебя плохие новости. MongoDB и его братья-NoSQL’ники жрут payload’ы ещё охотнее, чем MySQL после ' OR 1=1--. Сегодня разберём, как через nested массивы и операторы $[] с $where можно превратить “безопасный” NoSQL-запрос в твой личный backdoor для дампа базы.
Подробнее: https://timcourse.ru/nosql-injection-cherez-nested-massivy-mongo-lyubit-strannye-payloady-s-i-where/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
NoSQL injection через nested массивы — Mongo любит странные payload’ы с
$[] и $whereСлушай, бро, если ты думаешь, что NoSQL — это безопасная альтернатива SQL, у меня для тебя плохие новости. MongoDB и его братья-NoSQL’ники жрут payload’ы ещё охотнее, чем MySQL после ' OR 1=1--. Сегодня разберём, как через nested массивы и операторы $[] с $where можно превратить “безопасный” NoSQL-запрос в твой личный backdoor для дампа базы.
Подробнее: https://timcourse.ru/nosql-injection-cherez-nested-massivy-mongo-lyubit-strannye-payloady-s-i-where/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
NoSQL injection через nested массивы — Mongo любит странные payload’ы с `$[]` и `$where` — Авторские курсы Михаила Тарасова
Слушай, бро, если ты думаешь, что NoSQL — это безопасная альтернатива SQL, у меня для тебя плохие новости. MongoDB и его братья-NoSQL’ники жрут payload’ы ещё охотнее, чем MySQL после `' OR 1=1--`. Сегодня разберём, как через nested массивы и операторы `$[]`…
Здравствуйте, дорогие друзья!!!
Внимание! Акция!!!
Продлится 3 дня, с 6-го по 8-е октября включительно, а именно скидка 30% на мою электронную книгу-сборник «Хакер-программист»! 📚
Если Вы интересуетесь этичным хакингом и программированием, то эта книга станет для Вас настоящим кладезем знаний. Внутри Вы найдете 17 подробных разделов, которые охватывают все аспекты этой увлекательной и важной темы:
1. Заработок для хакера
https://vk.com/market/product/elektronnaya-kniga-zarabotok-dlya-khakera-44038255-9584632
2. Основы хакинга
https://vk.com/market/product/elektronnaya-kniga-osnovy-khakinga-44038255-9237103
3. Kali Linux для начинающих
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-nachinayuschikh-bazovy-uroven-44038255-4996935
4. Программирование на Go для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-go-dlya-nachinayuschikh-44038255-9562398
5. Программирование на Ассемблере для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-assemblere-dlya-nachinayuschikh-44038255-9664238
6. Хакинг на JavaScript
https://vk.com/market/product/elektronnaya-kniga-khaking-na-javascript-44038255-9092464
7. Хакинг на Ruby
https://vk.com/market/product/elektronnaya-kniga-khaking-na-ruby-44038255-9553339
8. Хакерские инструменты на PHP8
https://vk.com/market/product/elektronnaya-kniga-khakerskie-instrumenty-na-php8-44038255-9060882
9. Хакинг bWAPP - buggy web application. Эксплуатация 100 уязвимостей
https://vk.com/market/product/elektronnaya-kniga-khaking-bwapp-buggy-web-application-expluatatsia-100-uyazvimostey-44038255-8337216
10. Хакинг DVWA. Полное прохождение
https://vk.com/market/product/kniga-uyazvimosti-dvwa-polnoe-prokhozhdenie-mikhail-tarasov-timcore-44038255-7367979
11. Уязвимость SQL инъекция. Практическое руководство для хакеров
https://vk.com/market/product/kniga-uyazvimost-sql-inektsia-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8556247
12. Уязвимость Cross-Site Scripting XSS. Практическое руководство
https://vk.com/market/product/kniga-uyazvimost-cross-site-scripting-xss-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8411529
13. Пост-эксплуатация веб-сервера
https://vk.com/market/product/kniga-post-expluatatsia-veb-servera-44038255-8442259
14. Cross Site Request Forgery (CSRF)
https://vk.com/market/product/elektronnaya-kniga-uyazvimost-csrf-44038255-9345816
15. Прохождение CTF. Мистер Робот. Практический курс
https://vk.com/market/product/elektronnaya-kniga-mr-robot-1-ctf-walkthrough-reshenie-zadania-ctf-prakticheskoe-posobie-dlya-khaker-44038255-9357732
16. CTF. VulnHub - 8 райтапов
https://vk.com/market/product/elektronnaya-kniga-capture-the-flag-ctf-vulnhub-8-raytapov-44038255-9267197
17. Kali Linux для продвинутого тестирования на проникновение
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-prodvinutogo-testirovania-na-proniknovenie-44038255-8574265
Объем книги – 4074 страницы, наполненные полезной информацией и практическими примерами.
Стоимость книги составляет 3500 рублей.
🔗 Заказать книгу можно, написав по контакту в телеграм: @timcore1
Не упустите возможность стать настоящим профессионалом в области этичного хакинга и программирования! 💻🔒
Внимание! Акция!!!
Продлится 3 дня, с 6-го по 8-е октября включительно, а именно скидка 30% на мою электронную книгу-сборник «Хакер-программист»! 📚
Если Вы интересуетесь этичным хакингом и программированием, то эта книга станет для Вас настоящим кладезем знаний. Внутри Вы найдете 17 подробных разделов, которые охватывают все аспекты этой увлекательной и важной темы:
1. Заработок для хакера
https://vk.com/market/product/elektronnaya-kniga-zarabotok-dlya-khakera-44038255-9584632
2. Основы хакинга
https://vk.com/market/product/elektronnaya-kniga-osnovy-khakinga-44038255-9237103
3. Kali Linux для начинающих
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-nachinayuschikh-bazovy-uroven-44038255-4996935
4. Программирование на Go для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-go-dlya-nachinayuschikh-44038255-9562398
5. Программирование на Ассемблере для начинающих
https://vk.com/market/product/elektronnaya-kniga-programmirovanie-na-assemblere-dlya-nachinayuschikh-44038255-9664238
6. Хакинг на JavaScript
https://vk.com/market/product/elektronnaya-kniga-khaking-na-javascript-44038255-9092464
7. Хакинг на Ruby
https://vk.com/market/product/elektronnaya-kniga-khaking-na-ruby-44038255-9553339
8. Хакерские инструменты на PHP8
https://vk.com/market/product/elektronnaya-kniga-khakerskie-instrumenty-na-php8-44038255-9060882
9. Хакинг bWAPP - buggy web application. Эксплуатация 100 уязвимостей
https://vk.com/market/product/elektronnaya-kniga-khaking-bwapp-buggy-web-application-expluatatsia-100-uyazvimostey-44038255-8337216
10. Хакинг DVWA. Полное прохождение
https://vk.com/market/product/kniga-uyazvimosti-dvwa-polnoe-prokhozhdenie-mikhail-tarasov-timcore-44038255-7367979
11. Уязвимость SQL инъекция. Практическое руководство для хакеров
https://vk.com/market/product/kniga-uyazvimost-sql-inektsia-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8556247
12. Уязвимость Cross-Site Scripting XSS. Практическое руководство
https://vk.com/market/product/kniga-uyazvimost-cross-site-scripting-xss-prakticheskoe-rukovodstvo-dlya-khakerov-44038255-8411529
13. Пост-эксплуатация веб-сервера
https://vk.com/market/product/kniga-post-expluatatsia-veb-servera-44038255-8442259
14. Cross Site Request Forgery (CSRF)
https://vk.com/market/product/elektronnaya-kniga-uyazvimost-csrf-44038255-9345816
15. Прохождение CTF. Мистер Робот. Практический курс
https://vk.com/market/product/elektronnaya-kniga-mr-robot-1-ctf-walkthrough-reshenie-zadania-ctf-prakticheskoe-posobie-dlya-khaker-44038255-9357732
16. CTF. VulnHub - 8 райтапов
https://vk.com/market/product/elektronnaya-kniga-capture-the-flag-ctf-vulnhub-8-raytapov-44038255-9267197
17. Kali Linux для продвинутого тестирования на проникновение
https://vk.com/market/product/elektronnaya-kniga-kali-linux-dlya-prodvinutogo-testirovania-na-proniknovenie-44038255-8574265
Объем книги – 4074 страницы, наполненные полезной информацией и практическими примерами.
Стоимость книги составляет 3500 рублей.
🔗 Заказать книгу можно, написав по контакту в телеграм: @timcore1
Не упустите возможность стать настоящим профессионалом в области этичного хакинга и программирования! 💻🔒
🔥 ДНЕВНИК ХАКЕРА | 06.10.2025
Сегодня нашёл критикал в крупной российской системе биометрии 🎯
Что делал:
• Просканировал 10 IP + 17 доменов через subfinder/nmap 🔍
• Нашёл SPA личного кабинета с 2MB JS-кода 📱
• Реверсил минифицированный JS и нашёл API endpoints 🧩
Находка:
Endpoint OAuth-авторизации через ЕСИА (Госуслуги) раскрывает client_secret в открытом виде! 🚨
Это секретный ключ всей OAuth-интеграции, который по стандарту RFC 6749 НИКОГДА не должен попадать на клиент. С таким ключом можно:
✅ Авторизоваться от имени системы
✅ Получать токены пользователей Госуслуг
✅ Компрометировать всю интеграцию
CVSS: 9.3 (Critical) ⚠️
Статистика:
📊 ~300 запросов за 6 часов
📋 20+ протестированных endpoints
💰 Ожидаю 500k-1M₽ за находку
Lesson learned: Всегда анализируйте JS в SPA — там часто лежат API endpoints, токены и секреты! 🔑
Репорт отправлен, жду триаж. Детали раскрою после фикса 📝
#bugbounty #critical #oauth #infosec #whitehathacker #pentest 🔐💻
Сегодня нашёл критикал в крупной российской системе биометрии 🎯
Что делал:
• Просканировал 10 IP + 17 доменов через subfinder/nmap 🔍
• Нашёл SPA личного кабинета с 2MB JS-кода 📱
• Реверсил минифицированный JS и нашёл API endpoints 🧩
Находка:
Endpoint OAuth-авторизации через ЕСИА (Госуслуги) раскрывает client_secret в открытом виде! 🚨
Это секретный ключ всей OAuth-интеграции, который по стандарту RFC 6749 НИКОГДА не должен попадать на клиент. С таким ключом можно:
✅ Авторизоваться от имени системы
✅ Получать токены пользователей Госуслуг
✅ Компрометировать всю интеграцию
CVSS: 9.3 (Critical) ⚠️
Статистика:
📊 ~300 запросов за 6 часов
📋 20+ протестированных endpoints
💰 Ожидаю 500k-1M₽ за находку
Lesson learned: Всегда анализируйте JS в SPA — там часто лежат API endpoints, токены и секреты! 🔑
Репорт отправлен, жду триаж. Детали раскрою после фикса 📝
#bugbounty #critical #oauth #infosec #whitehathacker #pentest 🔐💻
#forensics
Искусство чтения логов: как из гигабайтов мусора собрать историю взлома
Слушай, новичок (или притворяешься, что новичок?), если ты думаешь, что логи — это просто бесконечные строчки текста для галочки перед аудитором, то у меня для тебя плохие новости. Логи — это не мусор, это чёртова Библия киберпреступления, написанная языком TCP/IP, HTTP-запросов и потных ладоней атакующего. Каждая строка — это крошка хлеба, оставленная хакером по дороге к твоим серверам, и твоя задача — собрать их все, чтобы воссоздать историю взлома с точностью криминалиста.
Подробнее: https://timforensics.ru/iskusstvo-chteniya-logov-kak-iz-gigabajtov-musora-sobrat-istoriyu-vzloma/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Искусство чтения логов: как из гигабайтов мусора собрать историю взлома
Слушай, новичок (или притворяешься, что новичок?), если ты думаешь, что логи — это просто бесконечные строчки текста для галочки перед аудитором, то у меня для тебя плохие новости. Логи — это не мусор, это чёртова Библия киберпреступления, написанная языком TCP/IP, HTTP-запросов и потных ладоней атакующего. Каждая строка — это крошка хлеба, оставленная хакером по дороге к твоим серверам, и твоя задача — собрать их все, чтобы воссоздать историю взлома с точностью криминалиста.
Подробнее: https://timforensics.ru/iskusstvo-chteniya-logov-kak-iz-gigabajtov-musora-sobrat-istoriyu-vzloma/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Искусство чтения логов: как из гигабайтов мусора собрать историю взлома | Форензика
Слушай, новичок (или притворяешься, что новичок?), если ты думаешь, что логи — это просто бесконечные строчки текста для галочки перед аудитором, то у
#forensics
Анатомия вредоноса: разбираем вирус на запчасти в безопасной лаборатории
Знаешь, что общего между хирургом и малвар-аналитиком? Оба вскрывают объекты, чтобы понять, что внутри. Только хирург спасает жизни, а мы — предотвращаем цифровой апокалипсис. Вредоносное ПО — это не просто «плохой файлик», это инженерное произведение, созданное для обхода защиты, кражи данных или шантажа. И если ты думаешь, что можно просто запустить подозрительный .exe на рабочем компе и посмотреть, что будет — поздравляю, ты кандидат на премию Дарвина в IT . Поэтому сегодня разберём, как правильно препарировать вредонос в безопасной лаборатории, чтобы понять его анатомию, не угробив при этом свою инфраструктуру.
Подробнее: https://timforensics.ru/anatomiya-vredonosa-razbiraem-virus-na-zapchasti-v-bezopasnoj-laboratorii/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Анатомия вредоноса: разбираем вирус на запчасти в безопасной лаборатории
Знаешь, что общего между хирургом и малвар-аналитиком? Оба вскрывают объекты, чтобы понять, что внутри. Только хирург спасает жизни, а мы — предотвращаем цифровой апокалипсис. Вредоносное ПО — это не просто «плохой файлик», это инженерное произведение, созданное для обхода защиты, кражи данных или шантажа. И если ты думаешь, что можно просто запустить подозрительный .exe на рабочем компе и посмотреть, что будет — поздравляю, ты кандидат на премию Дарвина в IT . Поэтому сегодня разберём, как правильно препарировать вредонос в безопасной лаборатории, чтобы понять его анатомию, не угробив при этом свою инфраструктуру.
Подробнее: https://timforensics.ru/anatomiya-vredonosa-razbiraem-virus-na-zapchasti-v-bezopasnoj-laboratorii/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Анатомия вредоноса: разбираем вирус на запчасти в безопасной лаборатории | Форензика
Знаешь, что общего между хирургом и малвар-аналитиком? Оба вскрывают объекты, чтобы понять, что внутри. Только хирург спасает жизни, а мы — предотвращаем
⚡ SSRF → RCE: chain-атака на реальной цели
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комбинации с другой превращается в полный pwn сервера.
https://vk.com/@hacker_timcore-ssrf-rce-chain-ataka-na-realnoi-celi
#дневникхакера #ssrf #rce #bugbounty #chainattack #aws #pentest #websecurity #ethicalhacking #redteam #exploit #cybersecurity #infosec #criticalvuln
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комбинации с другой превращается в полный pwn сервера.
https://vk.com/@hacker_timcore-ssrf-rce-chain-ataka-na-realnoi-celi
#дневникхакера #ssrf #rce #bugbounty #chainattack #aws #pentest #websecurity #ethicalhacking #redteam #exploit #cybersecurity #infosec #criticalvuln
VK
⚡ SSRF → RCE: chain-атака на реальной цели
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комб..
#blog
#books
Новая книга по Хакингу с ИИ в процессе написания. Это полностью переписанное издание, с учетом последних изменений в индустрии. Сфера ИИ развивается стремительными темпами, и я стараюсь включить самые новые материалы, и свои наработки за 2025 год, которых немало накопилось за этот год.
Совсем скоро можно будет оформить предзаказ.
#books
Новая книга по Хакингу с ИИ в процессе написания. Это полностью переписанное издание, с учетом последних изменений в индустрии. Сфера ИИ развивается стремительными темпами, и я стараюсь включить самые новые материалы, и свои наработки за 2025 год, которых немало накопилось за этот год.
Совсем скоро можно будет оформить предзаказ.