#bug_bounty
#bug_hunting

Кража сессий через забытые subdomain: как угнать куки через пыльный DNS

Основной домен target.com крутится на HTTPS, куки с флагом Secure. Но забытый субдомен oldblog.target.com висит на HTTP, а куки всё ещё шлются с Domain=target.com. Пахнет кражей сессий, как забытый пароль на стикере в офисе.

Подробнее: https://timcourse.ru/krazha-sessij-cherez-zabytye-subdomain-kak-ugnat-kuki-cherez-pylnyj-dns/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

«Яндекс» увеличивает награды в программе «Охота за ошибками» до 3 млн рублей

Компания «Яндекс» объявила о значительном увеличении вознаграждений для участников программы «Охота за ошибками». Теперь максимальная сумма за обнаружение критических уязвимостей в ключевых сервисах достигает 3 млн рублей. Это решение направлено на усиление безопасности продуктов компании и привлечение большего числа «белых хакеров» к поиску слабых мест в цифровой инфраструктуре.

Какие сервисы затронуты?

Повышенные выплаты касаются уязвимостей, выявленных в таких сервисах, как:

«Яндекс Почта»
«Яндекс ID»
Yandex Cloud
Мобильные приложения компании.

Особое внимание уделяется ошибкам, связанным с удаленным выполнением кода и атаками на виртуализацию, например, Virtual Machine escape в облачных сервисах. За подобные находки участники программы могут получить максимальное вознаграждение.

Новые условия программы

Размер выплат теперь зависит от типа обнаруженной уязвимости. Например, критические баги в Yandex Cloud, связанные с безопасностью данных или инфраструктуры, оцениваются до 3 млн рублей. Для мобильных приложений верхняя граница награды составляет 1 млн рублей .

«Мы удвоили максимальное вознаграждение, чтобы мотивировать экспертов по безопасности активнее участвовать в программе», — отметили в компании.

Зачем это нужно?

Программа «Охота за ошибками» позволяет «Яндексу» оперативно устранять угрозы, привлекая независимых исследователей. Это стандартная практика для IT-компаний, но рост гонораров до 3 млн рублей выделяет «Яндекс» на фоне российских игроков.

Таким образом, компания не только повышает уровень защиты своих сервисов, но и поддерживает сообщество этичных хакеров, превращая поиск уязвимостей в профессию с высоким доходом.

#ai
#mistral

Mistral запустил Agents API: новый шаг в создании интеллектуальных AI-агентов

Компания Mistral объявила о запуске Agents API — инструмента, предназначенного для упрощения разработки AI-агентов, способных решать сложные задачи в реальном мире. Этот API позволяет интегрировать большие языковые модели (LLM) в автономные системы, адаптированные под нужды бизнеса и пользователей.

Подробнее: https://timneuro.ru/mistral-zapustil-agents-api-novyj-shag-v-sozdanii-intellektualnyh-ai-agentov/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#ai
#dreams

DreaMS: Революция в анализе масс-спектров молекул

В современной науке масс-спектрометрия остается одним из ключевых инструментов для изучения химического состава веществ. Однако недавние технологические прорывы, такие как система DreaMS (Dream-Driven Mass Spectrometry), выводят этот метод на принципиально новый уровень. Эта инновация сочетает передовые подходы в аналитической химии и искусственном интеллекте, преобразуя способы исследования молекулярных структур.

Подробнее: https://timneuro.ru/dreams-revolyucziya-v-analize-mass-spektrov-molekul/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#vulnerability
#ethical_hacking
#video

Уязвимости в облачных сервисах: риски и меры защиты

Облачные сервисы стали неотъемлемой частью современного бизнеса, предоставляя гибкость, масштабируемость и экономическую эффективность. Однако вместе с этими преимуществами приходят и риски, связанные с безопасностью данных. В этом видео мы рассмотрим основные уязвимости облачных сервисов, а также меры, которые можно предпринять для их защиты.

Ссылка на видеоролик: https://rutube.ru/video/b89eb162bac66c66e8546a918ce2d359/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#books
#pentest

Здравствуйте, дорогие друзья!

Моя новая огненная электронная книга готова: «Пентест из Подвала: от Recon до Shell».

Цена: 1500 руб.
Объем: 121 страница.

В этом сборнике ты не найдёшь сухой теории или шаблонных советов для новичков. Здесь — живой опыт тысяч часов, проведённых за клавиатурами и терминалами, в борьбе с корпоративными защитами и закалёнными WAF’ами. Эта книга — твой личный гид в мир пентестинга с реальной прокачкой: от бесшумной разведки до хардкорного обхода защит и заливки шеллов.

Почему стоит читать?

- Честно и по-братски: без воды и фильтров — только рабочие техники, реальные кейсы и продвинутые payload’ы.
- От пассива к атаке: научишься видеть цели издалека, не выстреливая, и точно попадать туда, где больно.
- Обход защит и удержание: как проскочить мимо EDR, WAF и не нарваться на детект.
- Социальная инженерия и физический доступ: вспомним, что человек — самое слабое звено.
- Отчёт и этика: как не стать мудаком в хакерском мире и при этом делать деньги.

Книга построена как серия огненных уроков из подвала, где главное — не просто взломать, а понять, как работает система изнутри. Здесь есть и быстрое попадание в цель, и долгие ночи разбора логов, и веселые истории из первых рук. Всё с шутками, трюками, скилловой матчастью и капелькой подвала.

Если ты хочешь перестать быть жертвой, а стать охотником — бери эту книгу и включайся в бой. Время перестать читать — пора ломать.

«Пентест из Подвала: от Recon до Shell»

Содержание

Вступление
- Почему пентест из подвала — это круто и реально
- Кто мы такие, и зачем взламывать (RedTeam vs. BlackHat vs. Script Kiddies)
- Краткий обзор инструментария и привычек, которые делают тебя охотником, а не жертвой

Часть 1: Recon — разведка, или как найти все дыры, не влезая в систему
- Passive vs Active: примеры запросов, шоудан, та же гуглодорки, и как со всем этим работать
- Поддомены, IP, сервисы, открытые порты — всё, что светит
- Полезные скрипты и команды

Часть 2: Поиск уязвимостей — здесь начинается игра
- Обзор эксплойтов, как искать, фильтровать и автоматизировать
- SQLi, RCE: payload’ы, обход WAF
- Интеграция BurpSuite, настройка Proxies, Intruder, Scanner

Часть 3: Эксплуатация — момент истины
- Заливка шеллов, webshell vs reverse shell
- Примеры качающихся шеллов (bash, python, php)
- Эскалация привилегий — локальные эксплойты (CVE, линукс и винда)

Часть 4: Удержание и сокрытие — учимся оставаться незаметным
- Обход AV/EDR, скрытие шеллов
- Запуск через PowerShell, WMI, PSExec
- Финальный ребут — как не сдать концы раньше времени

Итог и полезные советы
- Как собрать отчет, чтобы не только заказчик, но и ты был доволен
- Этическая сторона вопросов — пентест с головой
- Куда копать дальше (Active Directory, IoT, социнженерия)

Цена: 1500 рублей.
Объем: 121 страница.

Для приобретения книги, пишите в личные сообщения паблика, перейдя по ссылке на цифровой товар: https://vk.com/market/product/elektronnaya-kniga-pentest-iz-podvala-ot-recon-do-shell-44038255-11673946

Либо по контакту в телеграм: @timcore1

#assembler
#exploit
#shellcode

Шеллкод для Windows 11: Как обойти Control Flow Guard и писать Position-Independent Code (PIC) на ассемблере

Эй, привет, кодеры! Сегодня мы погружаемся в мрачный и крутой мир шеллкодов для Windows 11. Мы разберем, как обойти защиту Control Flow Guard (CFG), встроенную в современные системы Microsoft, и напишем Position-Independent Code (PIC) на чистом ассемблере. Это не просто теория — я дам тебе рабочие примеры, лайфхаки и пошаговый разбор. Готов? Погнали!

Подробнее: https://timrobot.ru/shellkod-dlya-windows-11-kak-obojti-control-flow-guard-i-pisat-position-independent-code-pic-na-assemblere/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#0day
#exploit
#fuzzing

Фаззинг драйверов ядра: Находим 0-day за час. Настройка AFL++ для Windows Kernel Modules и трассировка краш-логов в WinDbg

Привет, хакеры и исследователи уязвимостей! Сегодня мы ныряем в жесткий мир фаззинга драйверов ядра Windows. Мы разберем, как использовать AFL++ для поиска багов в kernel modules, настроим окружение для Windows, и научимся анализировать краш-логи с помощью WinDbg, чтобы выжать из них максимум. Я дам тебе пошаговый план, рабочие примеры и пару лайфхаков, чтобы ты мог найти свой первый 0-day за час. Готов? Погнали!

Подробнее: https://timrobot.ru/fazzing-drajverov-yadra-nahodim-0-day-za-chas-nastrojka-afl-dlya-windows-kernel-modules-i-trassirovka-krash-logov-v-windbg/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

XSSI на SPA-фреймворках: Как фронтенд отдаёт твои секреты на блюдечке

Эй, бро, если думаешь, что SPA (Single Page Application) на React, Vue или Angular — это крепость, то у меня для тебя новости. Эти фреймворки, как твоя бывшая: выглядят красиво, а внутри — дыры. Сегодня разберём XSSI (Cross-Site Script Inclusion), технику, где фронтенд сам отдаёт твои данные злоумышленнику, пока ты думаешь, что «CORS всё прикрыл». Погнали копать.

Подробнее: https://timcourse.ru/xssi-na-spa-frejmvorkah-kak-frontend-otdayot-tvoi-sekrety-na-blyudechke/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

S3 Bucket Takeover через старый CNAME: Как AWS дарит тебе ключи от королевства

Бро, если думаешь, что AWS S3 — это неприступная крепость, то я тебе сейчас покажу, как старый забытый CNAME может превратить твой баг-репорт в жирный чек. Сегодня копаем в тему S3 bucket takeover, где разрабы оставляют висячие DNS-записи, как мусор на рабочем столе. Это не просто уязвимость, это твой билет в админку через чёрный ход. Погнали.

Подробнее: https://timcourse.ru/s3-bucket-takeover-cherez-staryj-cname-kak-aws-darit-tebe-klyuchi-ot-korolevstva/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Практическое руководство по анонимности, исходя из собственного многолетнего опыта.

Скоро будет возможность оформить предзаказ.

Содержание: «Невидимка 2.0: Как раствориться в Сети и не оставить следов»

Глава 1. Вход в тень: Почему ты уже на прицеле

- Точка входа: Кто и зачем за тобой следит: от рекламных трекеров до государственных контор.
- Чё почём: Основы угроз — фингерпринтинг, логи провайдеров, корреляция трафика.
- Байпас-рецепт: Первые шаги — выбор ОС (Tails, Qubes OS), настройка виртуалок для изоляции.
- Легенда: Как замести следы на физическом уровне — от наклейки на вебку до выключения микрофона.

Глава 2. Браузер — твой главный враг

- Точка входа: Утечки через JavaScript, WebRTC, отпечатки Canvas.
- Чё почём: Как браузер сливает твою анонимность быстрее, чем ты успеешь сказать "Tor".
- Байпас-рецепт: Настройка Tor Browser, установка NoScript + uBlock Origin, режим "таракана" (отключение всего, что шевелится).
- Легенда: Чистка кэша, подмена user-agent, использование контейнеров для разделения сессий.

Глава 3. Сеть как минное поле: Обход DPI и слежки

- Точка входа: Утечки DNS, анализ трафика провайдером, перехват пакетов.
- Чё почём: Как твой ISP и корпоративные шпионы видят всё, даже через сервис на три буквы.
- Байпас-рецепт: Tor + Obfs4 для маскировки трафика, настройка собственных DNS (Pi-hole), использование WireGuard поверх Tor.
- Легенда: Спуфинг MAC-адресов, рандомизация таймингов пакетов, чтобы корреляция обломалась.

Глава 4. Шифрование: Твой цифровой бронежилет

- Точка входа: Перехват сообщений, MITM-атаки, слабые ключи.
- Чё почём: Почему обычные мессенджеры — это слив твоих переписок в открытый доступ.
- Байпас-рецепт: PGP для почты (GPG4Win, Thunderbird), OTR/OMEMO в чатах (Pidgin, Conversations), VeraCrypt для файлов.
- Легенда: Генерация ключей в оффлайн-режиме, хранение на отдельном носителе, "сожги после чтения".

Глава 5. Даркнет: Правила игры в тенях

- Точка входа: Фейковые маркетплейсы, выходные ноды под контролем, деанонимизация через ошибки.
- Чё почём: Риски работы с .onion, от фишинга до honeypot’ов.
- Байпас-рецепт: Настройка Whonix для изоляции, проверка подписей через PGP, монетизация без следов (Monero).
- Легенда: Никаких личных данных, раздельные кошельки, логирование только в RAM.

Глава 6. Физическая анонимность: Не забывай про мясной мир

- Точка входа: Камеры с распознаванием лиц, RFID-метки, геолокация через смарт-девайсы.
- Чё почём: Как реальный мир сливает твою цифровую анонимность.
- Байпас-рецепт: Использование "глушилок" для сигналов, маскировка внешности, работа из публичных Wi-Fi с фейковыми данными.
- Легенда: Никаких смарт-гаджетов рядом, наличка вместо карт, передвижение без паттернов.

Глава 7. Логи и следы: Как стать призраком

- Точка входа: Метаданные в файлах, временные штампы, кэш приложений.
- Чё почём: Почему даже один забытый лог может тебя деанонить.
- Байпас-рецепт: Чистка метаданных (ExifTool), использование RAM-дисков, настройка автосброса логов.
- Легенда: Работа в live-режиме с Tails, шифрование бэкапов, "тихие часы" для всех операций.

Глава 8. Социальная инженерия: Не дай себя развести

- Точка входа: Фишинг, поддельные звонки, манипуляции через соцсети.
- Чё почём: Как хакеры обманывают даже параноиков вроде нас.
- Байпас-рецепт: Проверка ссылок (VirusTotal), двухфакторка через YubiKey, фейковые личности для общения.
- Легенда: Никаких кликов без анализа, раздельные почты для каждого сервиса, "не верь, не бойся, не проси".

Глава 9. Когда всё пошло не так: План Б

- Точка входа: Компрометация системы, утечка ключей, физический доступ к девайсу.
- Чё почём: Что делать, если тебя вычислили или вот-вот вычислят.
- Байпас-рецепт: Быстрое уничтожение данных (DBAN, shred), переход на запасные личности, смена локаций.
- Легенда: Подготовка "тревожного чемоданчика" (флешки, наличка, фейковые доки), полный сброс цифрового присутствия.

Полное содержание: https://vk.com/hacker_timcore?w=wall54631840_22073

Кусочек книги: Первый раздел.

Скоро будет возможность оформить предзаказ.

Глава 1. Вход в тень: Почему ты уже на прицеле
Точка входа: Кто и зачем за тобой следит: от рекламных трекеров до государственных контор

Ну что, брат, думаешь, ты просто серфишь мемы про котиков и никто тебя не трогает? Хрен там. В мире, где каждый твой клик — это строчка в чьей-то базе данных, ты уже на прицеле. Интернет — это не уютная песочница, а digital-паноптикум, где за тобой следят 24/7. И я сейчас не про тётку из соседнего подъезда, а про тех, кто реально может сделать твою жизнь адом. Давай разберём, кто эти ребята, зачем ты им нужен и как они уже знают про тебя больше, чем твоя мама.

Рекламные трекеры: Ты — ходячий товар
Начнём с "безобидных" ребят — рекламных сетей. Google, VK, всякие DMP (Data Management Platforms) и прочие жадные до данных конторы. Эти парни следят за каждым твоим шагом, чтобы впарить тебе носки или новый фитнес-браслет. Как? Через трекеры, куки, пиксели и прочую дрянь, которая вшита в 99% сайтов. Ты зашёл на сайт с обзором тостеров — и теперь тебе везде пихают рекламу тостеров. Это не магия, это слив твоих привычек.
Но дело не только в рекламе. Эти данные собираются, агрегируются и продаются. Ты для них — профиль, набор тегов: "мужик, 25-34, любит аниме, ищет дешёвые авиабилеты". И если ты думаешь, что это невинно, то вот тебе спойлер: эти профили могут попасть к кому угодно, от страховых компаний (чтобы поднять тебе ставку, если ты "рисковый") до криминальных группировок (чтобы выбрать тебя как цель для фишинга). Например, Google Analytics — это не просто инструмент, это шпион в твоём браузере. Он знает, сколько времени ты провёл на порносайте, и даже с какого IP заходил. А если ты ещё и залогинился в Gmail или VK, то привет, твой реальный ID уже привязан к этим данным.

Провайдеры и корпоративные шпионы: Твой трафик — их бизнес
Дальше идут твои "друзья" из ISP (интернет-провайдеров). Эти ребята видят абсолютно всё, что ты качаешь, куда заходишь и с кем чатишься, если ты не шифруешь трафик. Даже если ты юзаешь HTTPS, они могут анализировать метаданные: с какого IP на какой IP ты коннектишься, сколько данных передаёшь и в какое время. А с помощью DPI (Deep Packet Inspection) они и вовсе могут заглянуть внутрь твоих пакетов, если шифрование слабое или его нет вообще.
Зачем им это? Во-первых, бабки. Многие провайдеры продают обезличенные данные третьим сторонам. Во-вторых, контроль. В некоторых странах провайдеры обязаны хранить логи (в России это "закон Яровой", например) и сливать их по первому запросу властям. Даже если ты просто качал торрент с новым сезоном сериала, ты уже можешь попасть в список "пиратов". А если твой провайдер ещё и сотрудничает с рекламными сетями (а это не редкость), то считай, что твой трафик — это их дополнительный заработок.

Корпорации тоже не спят. Если ты юзаешь корпоративный ноут или Wi-Fi на работе, забудь про приватность. IT-отдел видит всё: какие сайты ты открываешь, какие файлы качаешь, даже твои пароли, если ты их вводишь на незащищённых страницах. А крупные софтверные компании типа Microsoft или Apple? Они встроили телеметрию прямо в свои ОС. Windows 10 и 11 шлют тонны данных на свои серверы: от твоих поисковых запросов до того, какие приложения ты запускаешь. Даже если ты выключишь "диагностику", они всё равно что-то собирают. Это не баг, это фича.

Государственные конторы: Большой Брат реален
А теперь к тяжёлой артиллерии — государственные структуры. NSA, ФСБ, GCHQ, китайский Great Firewall — названий много, суть одна: ты для них потенциальная угроза, даже если ты просто мирный обыватель. После разоблачений Сноудена в 2013 году стало понятно, что программы типа PRISM позволяют собирать данные прямо с серверов Google, Apple и других гигантов. Это не теория заговора, это документы, которые уже в открытом доступе.
Подробный текст раздела: https://vk.com/hacker_timcore?w=wall54631840_22074

#linux
#windows
#terminal

Базовые навыки для старта в этичном хакинге: Работа с командной строкой (Linux/Windows)

Этичный хакинг (или тестирование на проникновение) требует глубокого понимания операционных систем, сетей и инструментов безопасности. Одним из ключевых навыков, без которого невозможно обойтись, является работа с командной строкой (CLI). В этом видео мы разберем базовые команды для Linux и Windows, которые помогут вам начать путь в этичном хакинге.

Ссылка на видеоролик: https://rutube.ru/video/1b7e11a841bddbb26cb0698fe3396b80/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Здравствуйте, дорогие друзья!

Предоставляю возможность предзаказа моей новой электронной книги: . «Невидимка 2.0: Как раствориться в Сети и не оставить следов»

Цена: 900 руб.

Ну что, брат, думаешь, ты просто серфишь мемы про котиков и никто тебя не трогает? Хрен там. В мире, где каждый твой клик — это строчка в чьей-то базе данных, ты уже на прицеле. Интернет — это не уютная песочница, а digital-паноптикум, где за тобой следят 24/7. И я сейчас не про тётку из соседнего подъезда, а про тех, кто реально может сделать твою жизнь адом. Давай разберём, кто эти ребята, зачем ты им нужен и как они уже знают про тебя больше, чем твоя мама.

Содержание: «Невидимка 2.0: Как раствориться в Сети и не оставить следов»

Глава 1. Вход в тень: Почему ты уже на прицеле

- Точка входа: Кто и зачем за тобой следит: от рекламных трекеров до государственных контор.
- Чё почём: Основы угроз — фингерпринтинг, логи провайдеров, корреляция трафика.
- Байпас-рецепт: Первые шаги — выбор ОС (Tails, Qubes OS), настройка виртуалок для изоляции.
- Легенда: Как замести следы на физическом уровне — от наклейки на вебку до выключения микрофона.

Глава 2. Браузер — твой главный враг

- Точка входа: Утечки через JavaScript, WebRTC, отпечатки Canvas.
- Чё почём: Как браузер сливает твою анонимность быстрее, чем ты успеешь сказать "Tor".
- Байпас-рецепт: Настройка Tor Browser, установка NoScript + uBlock Origin, режим "таракана" (отключение всего, что шевелится).
- Легенда: Чистка кэша, подмена user-agent, использование контейнеров для разделения сессий.

Глава 3. Сеть как минное поле: Обход DPI и слежки

- Точка входа: Утечки DNS, анализ трафика провайдером, перехват пакетов.
- Чё почём: Как твой ISP и корпоративные шпионы видят всё, даже через сервис на три буквы.
- Байпас-рецепт: Tor + Obfs4 для маскировки трафика, настройка собственных DNS (Pi-hole), использование WireGuard поверх Tor.
- Легенда: Спуфинг MAC-адресов, рандомизация таймингов пакетов, чтобы корреляция обломалась.

Глава 4. Шифрование: Твой цифровой бронежилет

- Точка входа: Перехват сообщений, MITM-атаки, слабые ключи.
- Чё почём: Почему обычные мессенджеры — это слив твоих переписок в открытый доступ.
- Байпас-рецепт: PGP для почты (GPG4Win, Thunderbird), OTR/OMEMO в чатах (Pidgin, Conversations), VeraCrypt для файлов.
- Легенда: Генерация ключей в оффлайн-режиме, хранение на отдельном носителе, "сожги после чтения".

Глава 5. Даркнет: Правила игры в тенях

- Точка входа: Фейковые маркетплейсы, выходные ноды под контролем, деанонимизация через ошибки.
- Чё почём: Риски работы с .onion, от фишинга до honeypot’ов.
- Байпас-рецепт: Настройка Whonix для изоляции, проверка подписей через PGP, монетизация без следов (Monero).
- Легенда: Никаких личных данных, раздельные кошельки, логирование только в RAM.

Глава 6. Физическая анонимность: Не забывай про мясной мир

- Точка входа: Камеры с распознаванием лиц, RFID-метки, геолокация через смарт-девайсы.
- Чё почём: Как реальный мир сливает твою цифровую анонимность.
- Байпас-рецепт: Использование "глушилок" для сигналов, маскировка внешности, работа из публичных Wi-Fi с фейковыми данными.
- Легенда: Никаких смарт-гаджетов рядом, наличка вместо карт, передвижение без паттернов.

Глава 7. Логи и следы: Как стать призраком

- Точка входа: Метаданные в файлах, временные штампы, кэш приложений.
- Чё почём: Почему даже один забытый лог может тебя деанонить.
- Байпас-рецепт: Чистка метаданных (ExifTool), использование RAM-дисков, настройка автосброса логов.
- Легенда: Работа в live-режиме с Tails, шифрование бэкапов, "тихие часы" для всех операций.

Глава 8. Социальная инженерия: Не дай себя развести

- Точка входа: Фишинг, поддельные звонки, манипуляции через соцсети.
- Чё почём: Как хакеры обманывают даже параноиков вроде нас.
- Байпас-рецепт: Проверка ссылок (VirusTotal), двухфакторка через YubiKey, фейковые личности для общения.
- Легенда: Никаких кликов без анализа, раздельные почты для каждого сервиса, "не верь, не бойся, не проси".

Для оформления предзаказа, пишите по контакту: @timcore1

#pentest
#osint

Секреты OSINT на службе пентеста: от социальной инженерии до сбора дампов

Йо, братан, садись рядом, ща будем копать вглубь OSINT’а, как в старые добрые времена, когда мы с тобой дампы сливали и WAF’ы на куски рвали. Тема сегодня — «Секреты OSINT на службе пентеста: от социальной инженерии до сбора дампов». Разбираем всё по косточкам, от обхода корпоративных фильтров до пассивного фингерпринтинга. Готов? Погнали в атаку!

Подробнее: https://timcore.ru/2025/06/02/sekrety-osint-na-sluzhbe-pentesta-ot-socialnoj-inzhenerii-do-sbora-dampov/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#red_team
#blue_team

Red Team vs Blue Team: жизнь на грани — как накрывают и как не попадаться

Йо, братан, садись поближе к терминалу, ща будем разбирать мясо темы: «Red Team vs Blue Team: жизнь на грани — как накрывают и как не попадаться». Мы с тобой в подвале, старые волки, знаем, как пахнет адреналин, когда SIEM орёт, а IDS мигает красным. Сегодня я расскажу, как Blue Team нас ловит, как мы их обходим, и что делать, когда надо ломать всё и сразу — от маскировки до cold boot атак. Погнали, как в старые добрые CTF’ы!

Подробнее: https://timcore.ru/2025/06/02/red-team-vs-blue-team-zhizn-na-grani-kak-nakryvajut-i-kak-ne-popadatsja/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

SQLi через JSONB: Как сломать базу через модный формат

Йо, братва, сегодня мы роемся в помойке современных баз данных, а именно — в JSONB, который PostgreSQL так нежно пихает в каждый второй проект. Ты думал, что JSON — это просто способ хранить данные для хипстеров с фронтенда? Не-а, это ещё и твой билет в RCE, если админ базы спит на клавиатуре. В этой статье я, покажу, как JSONB становится точкой входа для SQL-инъекций, и дам тебе конкретные пейлоады, чтобы ты мог вломиться и сказать «привет» их pgAdmin’у.

Подробнее: https://timcourse.ru/sqli-cherez-jsonb-kak-slomat-bazu-cherez-modnyj-format/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

Blind LDAP Injection: Ломай Active Directory через слепую зону

Эй, бро, если ты думал, что LDAP — это просто скучная хрень для авторизации, где хранятся логины твоих коллег, то ты глубоко ошибаешься. Это золотая жила для багхантеров, особенно когда админы оставляют дыры в фильтрах. Blind LDAP Injection — это как играть в «горячо-холодно» с сервером, пока он сам не выдаст тебе пароль доменного админа. В этой статье я, твой кореш, покажу, как выудить данные из LDAP, даже если сервер не отвечает тебе прямым текстом. Готовь Burp и кофе, ща будет жарко.

Подробнее: https://timcourse.ru/blind-ldap-injection-lomaj-active-directory-cherez-slepuyu-zonu/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.