Мой сетап: macOS + Parrot 🦜. Чистая работа в грязном мире
Многие спорят, что лучше: Kali, BlackArch или вообще голый Debian с кастомными скриптами. А я скажу так: лучший инструмент — тот, с которым ты сливаешься воедино. Моя боевая станция уже который год — это связка из двух миров. 💻 + VM.
🧠 Хост-машина: MacBook (macOS)
Это мой “чистый” контур. Командный центр. Почему он?
• UNIX-ядро: Родной
• Стабильность и железо: Просто работает. Отличный экран, батарея, которая тащит весь день на выезде, и тишина. Никаких воющих кулеров на ровном месте.
• Софт: Софт для кодинга, дизайна, монтажа — всё на высшем уровне. Отчёт для “белых воротничков” должен выглядеть солидно. 😉
🔥 Гостевая ОС: Parrot Security OS (на VMware Fusion)
А вот это — моя “грязная” зона. Лаборатория, полигон и арсенал в одной коробке. 💀
• Изоляция: Главный принцип. Весь атакующий софт, все пейлоады, все следы остаются внутри виртуалки. Засветил IP? Уронил сервис? Поймал ответку от Blue Team? Снёс виртуалку, развернул чистый снапшот за 2 минуты. Хост остаётся девственно чистым.
• Инструментарий: Parrot мне нравится больше Kali. Он как-то… душевнее, что ли. И легче. Плюс, отличные инструменты для анонимности “из коробки” вроде Anonsurf. Все нужные тулзы на месте, от
• Гибкость: Нужно поднять кастомный веб-сервер для фишинга? Запустить
⚙ Как это работает вместе?
Связка проста: на маке — разведка, анализ, работа с документами. Как только нахожу точку входа — переключаюсь на Parrot в полноэкранном режиме, и понеслась.
Итог: надёжный, стерильный командный пункт на macOS и одноразовый, но мощный штурмовой модуль на Parrot. Для меня — идеальный баланс. 🛡💥
#pentest #infosec #cybersecurity #macos #parrotsec #hacker #redteam #сетап@timcore_hacking
Многие спорят, что лучше: Kali, BlackArch или вообще голый Debian с кастомными скриптами. А я скажу так: лучший инструмент — тот, с которым ты сливаешься воедино. Моя боевая станция уже который год — это связка из двух миров. 💻 + VM.
🧠 Хост-машина: MacBook (macOS)
Это мой “чистый” контур. Командный центр. Почему он?
• UNIX-ядро: Родной
zsh, ssh, grep, `awk`… всё под рукой без всяких WSL-костылей. Удобно для быстрой разведки, работы с текстом, написания отчётов.• Стабильность и железо: Просто работает. Отличный экран, батарея, которая тащит весь день на выезде, и тишина. Никаких воющих кулеров на ровном месте.
• Софт: Софт для кодинга, дизайна, монтажа — всё на высшем уровне. Отчёт для “белых воротничков” должен выглядеть солидно. 😉
🔥 Гостевая ОС: Parrot Security OS (на VMware Fusion)
А вот это — моя “грязная” зона. Лаборатория, полигон и арсенал в одной коробке. 💀
• Изоляция: Главный принцип. Весь атакующий софт, все пейлоады, все следы остаются внутри виртуалки. Засветил IP? Уронил сервис? Поймал ответку от Blue Team? Снёс виртуалку, развернул чистый снапшот за 2 минуты. Хост остаётся девственно чистым.
• Инструментарий: Parrot мне нравится больше Kali. Он как-то… душевнее, что ли. И легче. Плюс, отличные инструменты для анонимности “из коробки” вроде Anonsurf. Все нужные тулзы на месте, от
Metasploit и Burp до Wireshark и Ghidra.• Гибкость: Нужно поднять кастомный веб-сервер для фишинга? Запустить
responder в локалке? Просканить /24 подсеть? Всё это делается в виртуалке, не засирая хостовую систему.⚙ Как это работает вместе?
Связка проста: на маке — разведка, анализ, работа с документами. Как только нахожу точку входа — переключаюсь на Parrot в полноэкранном режиме, и понеслась.
Ctrl+Cmd и ты уже в другом мире. Общие папки и буфер обмена настроены для быстрого переноса данных. Это как иметь два разных компьютера, соединённых телепортом.Итог: надёжный, стерильный командный пункт на macOS и одноразовый, но мощный штурмовой модуль на Parrot. Для меня — идеальный баланс. 🛡💥
#pentest #infosec #cybersecurity #macos #parrotsec #hacker #redteam #сетап@timcore_hacking
Свежак подъехал! Wireshark 4.4.8 уже на проводе 🦈🔥
Бро, бросай свои дела, время обновить главный инструмент для ковыряния пакетов. Выкатили новую версию Wireshark. Да, это не революция, а плановый патч, но ты же знаешь, дьявол в деталях.
Что внутри? В основном, фиксы. Закрыли пачку уязвимостей, которые могли положить твой анализатор при вскрытии кривого дампа. Ну и по мелочи подлатали баги, чтобы не крашилось в самый ответственный момент, когда ты уже почти вытащил креды из трафика.
Помнишь, как у нас на одном из пентестов старый Wireshark падал на кастомном протоколе? Вот чтобы такого не было, разрабы и пашут. Меньше падений — больше пойманных пакетов и сэкономленных нервов.
Так что не ленись. Сноси старую версию, ставь новую. Чистый анализатор — залог успешного перехвата.
Качаем, обновляемся и снова в бой! 👇
https://www.wireshark.org/download.html
#wireshark #pentest #infosec #network #hacking #анализтрафика #безопасность #redteam@timcore_hacking
Бро, бросай свои дела, время обновить главный инструмент для ковыряния пакетов. Выкатили новую версию Wireshark. Да, это не революция, а плановый патч, но ты же знаешь, дьявол в деталях.
Что внутри? В основном, фиксы. Закрыли пачку уязвимостей, которые могли положить твой анализатор при вскрытии кривого дампа. Ну и по мелочи подлатали баги, чтобы не крашилось в самый ответственный момент, когда ты уже почти вытащил креды из трафика.
Помнишь, как у нас на одном из пентестов старый Wireshark падал на кастомном протоколе? Вот чтобы такого не было, разрабы и пашут. Меньше падений — больше пойманных пакетов и сэкономленных нервов.
Так что не ленись. Сноси старую версию, ставь новую. Чистый анализатор — залог успешного перехвата.
Качаем, обновляемся и снова в бой! 👇
https://www.wireshark.org/download.html
#wireshark #pentest #infosec #network #hacking #анализтрафика #безопасность #redteam@timcore_hacking
Wireshark
Wireshark • Download
Wireshark: The world's most popular network protocol analyzer
Один день из жизни баг-хантера. Погружение в программу Минцифры. 🔥
Всем привет! Сегодня был тот самый день, когда чувствуешь себя настоящим кибер-детективом. Решил поучаствовать в bug bounty программе от Минцифры на платформе Standoff 365, и это оказалось то ещё приключение.
Сначала: Секретный пропуск 🕵♂ Первое, что бросилось в глаза — требование отправлять с каждым запросом уникальный HTTP-заголовок. Эдакий VIP-пропуск для исследователя. Сразу чувствуешь серьёзность программы. Никаких случайных сканов, только целенаправленная работа.
Битва с окружением: Когда твой Mac против тебя 💻 Казалось бы, что может быть проще, чем запустить пару утилит? Но моя связка macOS + UTM + Parrot Security решила устроить мне настоящий CTF. Часы ушли на то, чтобы заставить
Первый запуск: Есть контакт! 🚀 И вот, спустя N часов отладки, мой автоматизированный конвейер наконец-то завёлся. Запустил
Зацепки: Маленькая победа 🎯 И вот оно —
Вишенка на торте — под конец скана сайт просто перестал у меня открываться. Бесконечная загрузка. Похоже, WAF всё-таки обиделся на мою активность и вежливо попросил мой IP на выход. Что ж, это тоже результат! Значит, меня заметили.
Что дальше? Работа только начинается. Автоматика своё дело сделала, теперь время для ручной работы и моего любимого Burp Suite. Зацепки есть, идеи тоже. Будем копать глубже!
#bugbounty #hacking #cybersecurity #pentest #infosec #standoff365 #минцифры #it #хакер@timcore_hacking
Всем привет! Сегодня был тот самый день, когда чувствуешь себя настоящим кибер-детективом. Решил поучаствовать в bug bounty программе от Минцифры на платформе Standoff 365, и это оказалось то ещё приключение.
Сначала: Секретный пропуск 🕵♂ Первое, что бросилось в глаза — требование отправлять с каждым запросом уникальный HTTP-заголовок. Эдакий VIP-пропуск для исследователя. Сразу чувствуешь серьёзность программы. Никаких случайных сканов, только целенаправленная работа.
Битва с окружением: Когда твой Mac против тебя 💻 Казалось бы, что может быть проще, чем запустить пару утилит? Но моя связка macOS + UTM + Parrot Security решила устроить мне настоящий CTF. Часы ушли на то, чтобы заставить
Go правильно компилировать нужные инструменты (`subfinder`, httpx, nuclei`). Проклятая ошибка `cgo с отсутствующим sys/cdefs.h преследовала меня, как навязчивый баг. Решилось всё только хардкорным сносом системного Go и установкой свежей версии вручную, а добил я проблему волшебным CGO_ENABLED=0. Классика!Первый запуск: Есть контакт! 🚀 И вот, спустя N часов отладки, мой автоматизированный конвейер наконец-то завёлся. Запустил
nuclei на главную цель do.gosuslugi.ru с лимитом в 30 запросов/сек, как того требуют правила. Сканирование шло почти час, WAF явно сопротивлялся и тормозил запросы, но…Зацепки: Маленькая победа 🎯 И вот оно —
Matched: 1! Сердце замерло в ожидании RCE, но нет. Находка оказалась информационной — устаревший заголовок X-XSS-Protection. Конечно, это не критическая уязвимость, но это зацепка. Это намёк от системы, что админы могли упустить что-то ещё.Вишенка на торте — под конец скана сайт просто перестал у меня открываться. Бесконечная загрузка. Похоже, WAF всё-таки обиделся на мою активность и вежливо попросил мой IP на выход. Что ж, это тоже результат! Значит, меня заметили.
Что дальше? Работа только начинается. Автоматика своё дело сделала, теперь время для ручной работы и моего любимого Burp Suite. Зацепки есть, идеи тоже. Будем копать глубже!
#bugbounty #hacking #cybersecurity #pentest #infosec #standoff365 #минцифры #it #хакер@timcore_hacking
🧷 Дневник хакера: нашел очередную уязвимость. Фаззинг: шаблоны, ID и сотни профилей
Сходу: нашёл баг. Не крит через shell, но очень громкий через структуру.
Баг не в коде. Баг в логике. А значит — фаззинг по правилам.
📂 Цель была простая: гос-сервис с архивом профилей, ничего почти не принимает, только отдаёт HTML.
🔧 Что сделал?
1. Скачал
2. Вытащил FIO-шаблоны (`surname-name-patronymic_ID.html`)
3. Нашёл predictable структуру: всё строится по ID + FIO
4. Засунул шаблоны в свой скрипт и сделал фаззинг:
•
•
•
5. Протестировал RPS, обошёл защиту заголовком
6. Собрал 99+ нестиндексированных страниц, которые открываются, но не должны быть доступны напрямую.
⚙ Инструменты, которые падали в бой:
•
•
•
•
•
• И да, конечно,
🤖 Что получилось?
• URL-паттерн предсказуем
• Sitemap не защищает от enumeration
• Контент отдаётся без авторизации
• Профили доступны, но ничем не метятся
🧾 Дальше:
📤 Отчёт отправил. Буду ждать верификации.
Если придёт “accepted” — бахну серию:
• как писать фаззинг по FIO-ID
• как серверы выдают 200 OK, даже когда не должны
• как настраивать respectful scan & логгер
🧠 Фаззинг — это не всегда «сломал». Иногда это: «понял, как думает back, и прошёл мимо авторизации, не тронув код».
#bugbounty #infosec
Сходу: нашёл баг. Не крит через shell, но очень громкий через структуру.
Баг не в коде. Баг в логике. А значит — фаззинг по правилам.
📂 Цель была простая: гос-сервис с архивом профилей, ничего почти не принимает, только отдаёт HTML.
🔧 Что сделал?
1. Скачал
sitemap.xml — 24+ МБ, десятки тысяч URL.2. Вытащил FIO-шаблоны (`surname-name-patronymic_ID.html`)
3. Нашёл predictable структуру: всё строится по ID + FIO
4. Засунул шаблоны в свой скрипт и сделал фаззинг:
•
idor_hunter_safe.py — автофазз на топовые FIO•
idor_fio_mode.py — точечный перебор по конкретному шаблону•
batch_fio_runner.py — фаззинг по списку из топ-FIO (с логами & CSV)5. Протестировал RPS, обошёл защиту заголовком
X-BugBounty:...6. Собрал 99+ нестиндексированных страниц, которые открываются, но не должны быть доступны напрямую.
⚙ Инструменты, которые падали в бой:
•
httpx — для разведки по сабдоменам•
ffuf — директории с 200/403 рядом с /cms•
curl + tqdm для ID-брута•
bs4 + html.parser для парса профилей•
csv.DictWriter() — твой лучший друг при багрепорте• И да, конечно,
nano, less, grep — как без них🤖 Что получилось?
• URL-паттерн предсказуем
• Sitemap не защищает от enumeration
• Контент отдаётся без авторизации
• Профили доступны, но ничем не метятся
🧾 Дальше:
📤 Отчёт отправил. Буду ждать верификации.
Если придёт “accepted” — бахну серию:
• как писать фаззинг по FIO-ID
• как серверы выдают 200 OK, даже когда не должны
• как настраивать respectful scan & логгер
🧠 Фаззинг — это не всегда «сломал». Иногда это: «понял, как думает back, и прошёл мимо авторизации, не тронув код».
#bugbounty #infosec
📓 Дневник хакера. Почему мне заходит багбаунти, и я в этом залипаю 💻🧠
Багбаунти — это как шутер, где у каждого сайта своя карта, приколы и баги вместо патронов.
Только тут ты не фраги собираешь, а CVSS, PoC и бабки.
Вот почему я в это погружён по уши:
🧠 1. Прокачка REAL-навыков
Учишься по туториалу — знаешь XSS.
Ломаешь багбаунти — начинаешь думать, как живой фреймворк, как real-world API.
Каждый отчёт учит чему-то новому: где-то WAF обошёл, где-то SSRF закрутил через PDF парсинг.
Это реальный опыт, не песочница.
🕹 2. Настоящий вызов.
Это не “нажал F12 и всё видно”.
Это:
• Анализ кода вслепую
• Сбор endpoints из JS
• Перехват сессий, tokens, cookies через все возможные лазейки
• Поиск upload’а в API 60-го уровня
Каждый сайт — это новый CTF. Только ставки выше.
📅 3. Гибкость — как у фриланса, но по-настоящему
Работаю когда хочу. Утром — WebGoat, вечером — ffuf на живых целях.
Никаких менеджеров, тикетов, «давайте обсудим в Zoom».
Есть только ты, http-запрос и
💰 4. Ты монетизируешь мозг — без рамок
Можно тратить вечер на какой-нибудь погодный API и вдруг вытащить IDOR с доступом к чужим аккам.
Бах — и это High severity с выплатой.
Когда твоя внимательность монетизируется — это вообще другой уровень мотивации.
🔐 5. Делать мир чуть безопаснее
Знаешь, это как быть digital-снайпером: ты ловишь баг — разраб затыкает его до того, как на него наткнется кто-то со злыми намерениями.
Ты очистил ещё один кусок интернета.
Маленький, но свой.
Итог:
Для кого-то это хобби. А для меня — это стиль мышления.
Не просто искать дыры. А понимать, атаковать этично, расти с каждым багом.
#BugBounty #ДневникХакера #InfoSec #RedTeamVibes #PentestЖизни
Багбаунти — это как шутер, где у каждого сайта своя карта, приколы и баги вместо патронов.
Только тут ты не фраги собираешь, а CVSS, PoC и бабки.
Вот почему я в это погружён по уши:
🧠 1. Прокачка REAL-навыков
Учишься по туториалу — знаешь XSS.
Ломаешь багбаунти — начинаешь думать, как живой фреймворк, как real-world API.
Каждый отчёт учит чему-то новому: где-то WAF обошёл, где-то SSRF закрутил через PDF парсинг.
Это реальный опыт, не песочница.
🕹 2. Настоящий вызов.
Это не “нажал F12 и всё видно”.
Это:
• Анализ кода вслепую
• Сбор endpoints из JS
• Перехват сессий, tokens, cookies через все возможные лазейки
• Поиск upload’а в API 60-го уровня
Каждый сайт — это новый CTF. Только ставки выше.
📅 3. Гибкость — как у фриланса, но по-настоящему
Работаю когда хочу. Утром — WebGoat, вечером — ffuf на живых целях.
Никаких менеджеров, тикетов, «давайте обсудим в Zoom».
Есть только ты, http-запрос и
/upload?file=.💰 4. Ты монетизируешь мозг — без рамок
Можно тратить вечер на какой-нибудь погодный API и вдруг вытащить IDOR с доступом к чужим аккам.
Бах — и это High severity с выплатой.
Когда твоя внимательность монетизируется — это вообще другой уровень мотивации.
🔐 5. Делать мир чуть безопаснее
Знаешь, это как быть digital-снайпером: ты ловишь баг — разраб затыкает его до того, как на него наткнется кто-то со злыми намерениями.
Ты очистил ещё один кусок интернета.
Маленький, но свой.
Итог:
Для кого-то это хобби. А для меня — это стиль мышления.
Не просто искать дыры. А понимать, атаковать этично, расти с каждым багом.
#BugBounty #ДневникХакера #InfoSec #RedTeamVibes #PentestЖизни
📓 Дневник хакера. Как я вкатился в багбаунти: 3 дня до первой уязвимости, 3 месяца до первой $1000
Стукнуло мне как-то: «А чё, если попробовать багбаунти?»
Скачал Burp, поставил ffuf, залил кофе — и понеслась.
Первую уязвимость нашёл за 3 дня.
Не RCE, но Info Disclosure через хитрый endpoint. Тогда казалось, будто флаг на Evereste поставил.
⏳ Через 3 месяца — бахнул баг на Medium severity (authorization bypass через IDOR).
Первая $1000 прилетела на счёт.
И с того момента я понял: хантить баги можно не только в CTF, но и в проде — этично, легально и с профитом.
📍 Пока что я считаю себя начинающим багхантером — нет ещё 0day в запасе и триаж ручками не автоматизировал.
Но кайфует душа от самого процесса:
— разбор логики
— лазер фокус на целевые запросы
— поиск XSS в adminpanel.min.js?v=oblivion
И момент, когда нашёл… когда оформляешь PoC… ах. Это не сравнить.
Сложно?
Да.
Затягивает?
Ещё как.
Никакой магии, только внимательность, терпение и Burp Suite.
#BugBounty #НачалоИстории #InfoSec #ХакаюНоПоЛюбви #БлогХакера #PentestЖизни
Стукнуло мне как-то: «А чё, если попробовать багбаунти?»
Скачал Burp, поставил ffuf, залил кофе — и понеслась.
Первую уязвимость нашёл за 3 дня.
Не RCE, но Info Disclosure через хитрый endpoint. Тогда казалось, будто флаг на Evereste поставил.
⏳ Через 3 месяца — бахнул баг на Medium severity (authorization bypass через IDOR).
Первая $1000 прилетела на счёт.
И с того момента я понял: хантить баги можно не только в CTF, но и в проде — этично, легально и с профитом.
📍 Пока что я считаю себя начинающим багхантером — нет ещё 0day в запасе и триаж ручками не автоматизировал.
Но кайфует душа от самого процесса:
— разбор логики
— лазер фокус на целевые запросы
— поиск XSS в adminpanel.min.js?v=oblivion
И момент, когда нашёл… когда оформляешь PoC… ах. Это не сравнить.
Сложно?
Да.
Затягивает?
Ещё как.
Никакой магии, только внимательность, терпение и Burp Suite.
#BugBounty #НачалоИстории #InfoSec #ХакаюНоПоЛюбви #БлогХакера #PentestЖизни
📓 Дневник хакера: баги в фазе квантовой неопределённости ⚡🐾
Сегодня утром пришёл апдейт по одному из моих репортов:
CORS‑misconfiguration на одном из сервисов признали… но без ценности.
Комментарий в стиле: “да, CORS открыт, но данные — рандом и не страшно”.
И, конечно, вишенка на торте — дубликат: такой же баг уже упал к ним пару отчётов назад.
Остальные три моих репорта сейчас в статусе “в работе у вендора” 🕵️♀️:
там серьёзнее мяско, и если полетят фиксы — будет пара P1/P2 в копилку.
🔧 Стэк за сегодня: баш‑скрипты для автоматической проверки старых payload’ов, пайтон для парсинга ответов, и вечная любовь — Burp Suite для ручного добивания.
Чувство такое: баги живут в режиме квантового кота Шрёдингера — пока тикет открыт, они вроде и есть, и нет 😈
💭 Мораль: репортишь — всегда держи скрины и логи. Сегодня это просто “информативно”, а завтра — цепочка для критичного эксплойта.
#bugbounty #дневникхакера #pentest #bash #python #burpsuite #websec #cors #infosec #redteam
Сегодня утром пришёл апдейт по одному из моих репортов:
CORS‑misconfiguration на одном из сервисов признали… но без ценности.
Комментарий в стиле: “да, CORS открыт, но данные — рандом и не страшно”.
И, конечно, вишенка на торте — дубликат: такой же баг уже упал к ним пару отчётов назад.
Остальные три моих репорта сейчас в статусе “в работе у вендора” 🕵️♀️:
там серьёзнее мяско, и если полетят фиксы — будет пара P1/P2 в копилку.
🔧 Стэк за сегодня: баш‑скрипты для автоматической проверки старых payload’ов, пайтон для парсинга ответов, и вечная любовь — Burp Suite для ручного добивания.
Чувство такое: баги живут в режиме квантового кота Шрёдингера — пока тикет открыт, они вроде и есть, и нет 😈
💭 Мораль: репортишь — всегда держи скрины и логи. Сегодня это просто “информативно”, а завтра — цепочка для критичного эксплойта.
#bugbounty #дневникхакера #pentest #bash #python #burpsuite #websec #cors #infosec #redteam
#bug_bounty
#xss
3,000$ Bug Bounty Rewards from Microsoft Forms: Reflected XSS Vulnerability
https://www.youtube.com/watch?v=pjbaZYEYQV8
#xss
3,000$ Bug Bounty Rewards from Microsoft Forms: Reflected XSS Vulnerability
https://www.youtube.com/watch?v=pjbaZYEYQV8
YouTube
3,000$ Bug Bounty Rewards from Microsoft Forms: Reflected XSS Vulnerability
3,000$ Bug Bounty Rewards from Microsoft Forms: How I Discovered a Reflected XSS Vulnerability. Check out the full details on:
https://medium.com/@m3ez
#bugbounty
#security
#hacking
#XSS
#MicrosoftPowerApps
#ethicalhacking
#cybersecurity
#vulnerability…
https://medium.com/@m3ez
#bugbounty
#security
#hacking
#XSS
#MicrosoftPowerApps
#ethicalhacking
#cybersecurity
#vulnerability…
🔥 ДНЕВНИК ХАКЕРА | 06.10.2025
Сегодня нашёл критикал в крупной российской системе биометрии 🎯
Что делал:
• Просканировал 10 IP + 17 доменов через subfinder/nmap 🔍
• Нашёл SPA личного кабинета с 2MB JS-кода 📱
• Реверсил минифицированный JS и нашёл API endpoints 🧩
Находка:
Endpoint OAuth-авторизации через ЕСИА (Госуслуги) раскрывает client_secret в открытом виде! 🚨
Это секретный ключ всей OAuth-интеграции, который по стандарту RFC 6749 НИКОГДА не должен попадать на клиент. С таким ключом можно:
✅ Авторизоваться от имени системы
✅ Получать токены пользователей Госуслуг
✅ Компрометировать всю интеграцию
CVSS: 9.3 (Critical) ⚠️
Статистика:
📊 ~300 запросов за 6 часов
📋 20+ протестированных endpoints
💰 Ожидаю 500k-1M₽ за находку
Lesson learned: Всегда анализируйте JS в SPA — там часто лежат API endpoints, токены и секреты! 🔑
Репорт отправлен, жду триаж. Детали раскрою после фикса 📝
#bugbounty #critical #oauth #infosec #whitehathacker #pentest 🔐💻
Сегодня нашёл критикал в крупной российской системе биометрии 🎯
Что делал:
• Просканировал 10 IP + 17 доменов через subfinder/nmap 🔍
• Нашёл SPA личного кабинета с 2MB JS-кода 📱
• Реверсил минифицированный JS и нашёл API endpoints 🧩
Находка:
Endpoint OAuth-авторизации через ЕСИА (Госуслуги) раскрывает client_secret в открытом виде! 🚨
Это секретный ключ всей OAuth-интеграции, который по стандарту RFC 6749 НИКОГДА не должен попадать на клиент. С таким ключом можно:
✅ Авторизоваться от имени системы
✅ Получать токены пользователей Госуслуг
✅ Компрометировать всю интеграцию
CVSS: 9.3 (Critical) ⚠️
Статистика:
📊 ~300 запросов за 6 часов
📋 20+ протестированных endpoints
💰 Ожидаю 500k-1M₽ за находку
Lesson learned: Всегда анализируйте JS в SPA — там часто лежат API endpoints, токены и секреты! 🔑
Репорт отправлен, жду триаж. Детали раскрою после фикса 📝
#bugbounty #critical #oauth #infosec #whitehathacker #pentest 🔐💻
⚡ SSRF → RCE: chain-атака на реальной цели
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комбинации с другой превращается в полный pwn сервера.
https://vk.com/@hacker_timcore-ssrf-rce-chain-ataka-na-realnoi-celi
#дневникхакера #ssrf #rce #bugbounty #chainattack #aws #pentest #websecurity #ethicalhacking #redteam #exploit #cybersecurity #infosec #criticalvuln
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комбинации с другой превращается в полный pwn сервера.
https://vk.com/@hacker_timcore-ssrf-rce-chain-ataka-na-realnoi-celi
#дневникхакера #ssrf #rce #bugbounty #chainattack #aws #pentest #websecurity #ethicalhacking #redteam #exploit #cybersecurity #infosec #criticalvuln
VK
⚡ SSRF → RCE: chain-атака на реальной цели
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комб..
📝Дневник хакера | 08.10.2025
Сегодня был продуктивный день в багхантинге 🔥💰
Целый день посвятил пентесту одной крупной системы (из-за NDA не могу раскрывать детали — кто понял, тот понял 😏). Скажу только, что цель была серьёзная, а поверхность атаки — огромная.
Что делал:
Reconnaissance 🔍 Начал с классики — nmap, subfinder, проверка robots.txt и sitemap. Собрал инфу о технологиях, нашёл несколько интересных API endpoints. Админы молодцы, инфраструктуру прикрыли неплохо.
Information Disclosure ⚙ Пытался найти .env, .git, backup-файлы — все стандартные векторы. Результат: всё закрыто. Directory listing отключен, конфиги спрятаны. Зато проверил Bitrix CMS — искал SQL Injection, XSS, но защита на высоте 👍
API Testing 💻 Перешёл на тестирование API. Тут было интереснее! Нашёл пару багов:
1⃣ Missing Authentication на критичном API endpoint (MEDIUM severity, CVSS 5.3) — детали по NDA, но суть в том, что доступ к чувствительным данным был без авторизации. Написал подробный PoC, отправил репорт. Потенциальная выплата: 50,000 - 150,000 ₽ 💵
2⃣ Missing Security Headers на главном домене (LOW-MEDIUM severity, CVSS 4.3) — отсутствуют все критичные HTTP-заголовки (X-Frame-Options, CSP, HSTS и т.д.). Это открывает дверь для Clickjacking, MIME-sniffing и других атак на клиентскую сторону. Потенциальная выплата: 30,000 - 100,000 ₽ 💸
Итого за день потенциально: 80,000 - 250,000 ₽! 🤑🎯
Результат дня 📊
✅ 2 уязвимости найдено и отправлено
✅ Несколько векторов закрыто (хорошо пропатчено)
✅ Составил план на завтра — буду копать глубже в поддомены
Что понял:
Даже если с первого взгляда всё выглядит защищённым, всегда есть места, где можно найти лазейку. Главное — методичность и терпение. А ещё curl и grep — мои лучшие друзья 💪😎
P.S.
Завтра продолжу — планирую Certificate Transparency для поиска скрытых поддоменов и тесты на CORS misconfiguration. Если найду что-то интересное — обязательно расскажу (насколько позволит NDA 🤫).
Bug hunting — это не про везение, это про упорство! И да, иногда это ещё и про хорошие выплаты 😉💰
#bugbounty #cybersecurity #pentesting #hacking #infosec #redteam #bugbountyhunter #дневникхакера #bugbountytips
Сегодня был продуктивный день в багхантинге 🔥💰
Целый день посвятил пентесту одной крупной системы (из-за NDA не могу раскрывать детали — кто понял, тот понял 😏). Скажу только, что цель была серьёзная, а поверхность атаки — огромная.
Что делал:
Reconnaissance 🔍 Начал с классики — nmap, subfinder, проверка robots.txt и sitemap. Собрал инфу о технологиях, нашёл несколько интересных API endpoints. Админы молодцы, инфраструктуру прикрыли неплохо.
Information Disclosure ⚙ Пытался найти .env, .git, backup-файлы — все стандартные векторы. Результат: всё закрыто. Directory listing отключен, конфиги спрятаны. Зато проверил Bitrix CMS — искал SQL Injection, XSS, но защита на высоте 👍
API Testing 💻 Перешёл на тестирование API. Тут было интереснее! Нашёл пару багов:
1⃣ Missing Authentication на критичном API endpoint (MEDIUM severity, CVSS 5.3) — детали по NDA, но суть в том, что доступ к чувствительным данным был без авторизации. Написал подробный PoC, отправил репорт. Потенциальная выплата: 50,000 - 150,000 ₽ 💵
2⃣ Missing Security Headers на главном домене (LOW-MEDIUM severity, CVSS 4.3) — отсутствуют все критичные HTTP-заголовки (X-Frame-Options, CSP, HSTS и т.д.). Это открывает дверь для Clickjacking, MIME-sniffing и других атак на клиентскую сторону. Потенциальная выплата: 30,000 - 100,000 ₽ 💸
Итого за день потенциально: 80,000 - 250,000 ₽! 🤑🎯
Результат дня 📊
✅ 2 уязвимости найдено и отправлено
✅ Несколько векторов закрыто (хорошо пропатчено)
✅ Составил план на завтра — буду копать глубже в поддомены
Что понял:
Даже если с первого взгляда всё выглядит защищённым, всегда есть места, где можно найти лазейку. Главное — методичность и терпение. А ещё curl и grep — мои лучшие друзья 💪😎
P.S.
Завтра продолжу — планирую Certificate Transparency для поиска скрытых поддоменов и тесты на CORS misconfiguration. Если найду что-то интересное — обязательно расскажу (насколько позволит NDA 🤫).
Bug hunting — это не про везение, это про упорство! И да, иногда это ещё и про хорошие выплаты 😉💰
#bugbounty #cybersecurity #pentesting #hacking #infosec #redteam #bugbountyhunter #дневникхакера #bugbountytips
🔐 Дневник Хакера | 10.10.2025
Сегодняшний день был продуктивным — провёл углублённое тестирование на защищённость в рамках bug bounty программы.
🎯 Цель: Федеральная система (детали под NDA)
⏱ Время: 6 часов чистой работы
🔧 Инструменты: ffuf, curl, Burp Suite, custom scripts
📈 Процесс:
1️⃣ Разведка: сканирование субдоменов, endpoints, технологий
2️⃣ Анализ: изучение архитектуры, поиск точек входа
3️⃣ Тестирование: проверка различных векторов атак
4️⃣ Эксплуатация: подтверждение найденных уязвимостей
5️⃣ Документирование: написание профессионального отчёта
🎯 Статистика:
• HTTP-запросов: 1,000+
• Endpoints протестировано: 50+
• Данных собрано: 40 MB
• Файлов создано: 91
• Уязвимостей найдено: 3 (1 Critical, 2 Medium)
💡 Что было интересного:
Нашёл нестандартный способ обхода защиты, который позволил получить доступ к защищённым ресурсам. Классический пример того, как whitelist'ы без должной валидации могут стать уязвимостью.
📝 Отправил отчёт в Standoff365, жду триажа.
💰 Потенциальная выплата: до 150,000₽
Детали опубликую после разрешения программы и исправления уязвимости владельцем.
Совет дня: Всегда проверяйте не только "что блокируется", но и "что пропускается". Иногда whitelist опаснее blacklist'а.
#bugbounty #pentesting #cybersecurity #ethical_hacking #infosec #web_security #ДневникХакера
Сегодняшний день был продуктивным — провёл углублённое тестирование на защищённость в рамках bug bounty программы.
🎯 Цель: Федеральная система (детали под NDA)
⏱ Время: 6 часов чистой работы
🔧 Инструменты: ffuf, curl, Burp Suite, custom scripts
📈 Процесс:
1️⃣ Разведка: сканирование субдоменов, endpoints, технологий
2️⃣ Анализ: изучение архитектуры, поиск точек входа
3️⃣ Тестирование: проверка различных векторов атак
4️⃣ Эксплуатация: подтверждение найденных уязвимостей
5️⃣ Документирование: написание профессионального отчёта
🎯 Статистика:
• HTTP-запросов: 1,000+
• Endpoints протестировано: 50+
• Данных собрано: 40 MB
• Файлов создано: 91
• Уязвимостей найдено: 3 (1 Critical, 2 Medium)
💡 Что было интересного:
Нашёл нестандартный способ обхода защиты, который позволил получить доступ к защищённым ресурсам. Классический пример того, как whitelist'ы без должной валидации могут стать уязвимостью.
📝 Отправил отчёт в Standoff365, жду триажа.
💰 Потенциальная выплата: до 150,000₽
Детали опубликую после разрешения программы и исправления уязвимости владельцем.
Совет дня: Всегда проверяйте не только "что блокируется", но и "что пропускается". Иногда whitelist опаснее blacklist'а.
#bugbounty #pentesting #cybersecurity #ethical_hacking #infosec #web_security #ДневникХакера
🔥 Дневник Хакера | День 1: Новая Bug Bounty программа
13 октября 2025
Сегодня приступил к новой Bug Bounty программе — gambling платформа (NDA, название не раскрываю). Выплаты от $100 до $5000 в USDT за найденные уязвимости. Звучит как хороший способ провести неделю, правда? 😎
Разведка (Reconnaissance Phase)
Начал классически — с пассивной разведки. Запустил subfinder и amass для поиска субдоменов. Результат немного разочаровал — минимальная инфраструктура видна извне. Но это нормально, многие компании держат attack surface минималистичной.
Первая проблема: DNS resolver на VM лёг. Пришлось фиксить
Вторая проблема: Гео-блокировка. Таргет просто не отвечал из моей локации. Connection timeout при попытке curl. Решение — смена IP через VPN. После этого всё заработало. Интересный момент — значит у них есть compliance требования по регионам.
Первые находки
🎯 Tech Stack:
• Cloudflare WAF (ASN 13335) — ожидаемо для gambling индустрии
• Nginx — версия раскрыта в 404 ошибке (уже потенциальная информационная утечка)
• Vue.js/Vite SPA на фронте
• Интеграции: мессенджер, live chat, аналитика, метрики
🔍 Wayback Machine:
Собрал исторические URL через
/referal-login/{код}/
/bonus_{название}/
Быстрый тест показал, что referral endpoint принимает ЛЮБОЙ payload с HTTP 200:
/referal-login/TESTPAYLOAD/ → 200 OK
/referal-login/../admin/ → 200 OK
/referal-login/test'OR'1'='1/ → 200 OK
Нет валидации входных данных = потенциальный XSS, SQLi или Path Traversal. Пока reflection в HTML не подтвердил, но вектор перспективный для углублённого тестирования.
💣 JavaScript Analysis:
Скачал основные JS файлы (4MB каждый — вот это bundle!). Через grep нашёл 10+ API endpoints:
Критичные векторы:
•
•
•
•
Интеграция с мессенджером: обнаружен бот с параметрами в URL — ещё один вектор для исследования на injection атаки.
📌 Найденные токены в клиентском коде:
• Live chat токен
• Analytics site ID
• Tracking IDs
Проверю завтра, можно ли через них получить доступ к чатам, пользовательским данным или аналитике.
План на завтра
Завтра буду тестировать:
1. Auth Bypass — попробую манипулировать параметрами аутентификации через сторонний сервис
2. Bonus Abuse — race condition на создании бонусов
3. IDOR — изменение идентификаторов пользователей в API
4. OAuth CSRF — проверка OAuth flow на отсутствие
5. Referral injection — углублённое тестирование на XSS/SQLi/Path Traversal
Статистика дня
⏱ Времени потрачено: ~2 часа
🔍 Инструменты: subfinder, amass, waybackurls, curl, grep
📂 Собрано данных: 10+ API endpoints, 50+ исторических URL
🎯 Потенциальных векторов: 5 high-priority
Мысли вслух
Gambling платформы — всегда интересная цель. Там где деньги, там всегда найдутся баги в бизнес-логике. Особенно интересует интеграция со сторонними сервисами авторизации — видел много кейсов, где подпись либо не проверялась вообще, либо проверялась криво.
Referral system тоже выглядит подозрительно. Полное отсутствие валидации input’а — это красный флаг размером с Китай. Завтра покопаю глубже с Burp Suite.
Пока что чувствую, что здесь есть минимум 1-2 бага на $750+. Auth bypass через сторонний сервис может потянуть на Critical ($1500-5000), если повезёт с PoC.
Технические детали для себя:
• Гео-блок обходится через VPN (region: EU)
• WAF Cloudflare — нужно готовить обфускацию payload’ов
• SPA архитектура — все endpoints в JS, DevTools обязателен
• Минимальная инфраструктура извне → копать вглубь, а не вширь
Продолжение следует…
💻 Stay tuned for Day 2!
#BugBounty #InfoSec #RedTeam #Pentesting #CyberSecurity #ДневникХакера #Recon
13 октября 2025
Сегодня приступил к новой Bug Bounty программе — gambling платформа (NDA, название не раскрываю). Выплаты от $100 до $5000 в USDT за найденные уязвимости. Звучит как хороший способ провести неделю, правда? 😎
Разведка (Reconnaissance Phase)
Начал классически — с пассивной разведки. Запустил subfinder и amass для поиска субдоменов. Результат немного разочаровал — минимальная инфраструктура видна извне. Но это нормально, многие компании держат attack surface минималистичной.
Первая проблема: DNS resolver на VM лёг. Пришлось фиксить
/etc/resolv.conf и прописывать Google DNS (8.8.8.8). Классика жанра 😅Вторая проблема: Гео-блокировка. Таргет просто не отвечал из моей локации. Connection timeout при попытке curl. Решение — смена IP через VPN. После этого всё заработало. Интересный момент — значит у них есть compliance требования по регионам.
Первые находки
🎯 Tech Stack:
• Cloudflare WAF (ASN 13335) — ожидаемо для gambling индустрии
• Nginx — версия раскрыта в 404 ошибке (уже потенциальная информационная утечка)
• Vue.js/Vite SPA на фронте
• Интеграции: мессенджер, live chat, аналитика, метрики
🔍 Wayback Machine:
Собрал исторические URL через
waybackurls. Нашёл интересные паттерны:/referal-login/{код}/
/bonus_{название}/
Быстрый тест показал, что referral endpoint принимает ЛЮБОЙ payload с HTTP 200:
/referal-login/TESTPAYLOAD/ → 200 OK
/referal-login/../admin/ → 200 OK
/referal-login/test'OR'1'='1/ → 200 OK
Нет валидации входных данных = потенциальный XSS, SQLi или Path Traversal. Пока reflection в HTML не подтвердил, но вектор перспективный для углублённого тестирования.
💣 JavaScript Analysis:
Скачал основные JS файлы (4MB каждый — вот это bundle!). Через grep нашёл 10+ API endpoints:
Критичные векторы:
•
/users/get_me/ — потенциальный IDOR на получение данных пользователей•
/users/login_{service}/ — авторизация через сторонний сервис (высокий риск auth bypass!)•
/bonus_events/create_*_bonuses/ — создание бонусов (business logic bug?)•
/api/social/login/{provider}/ — OAuth всегда интересен для CSRF/redirect атакИнтеграция с мессенджером: обнаружен бот с параметрами в URL — ещё один вектор для исследования на injection атаки.
📌 Найденные токены в клиентском коде:
• Live chat токен
• Analytics site ID
• Tracking IDs
Проверю завтра, можно ли через них получить доступ к чатам, пользовательским данным или аналитике.
План на завтра
Завтра буду тестировать:
1. Auth Bypass — попробую манипулировать параметрами аутентификации через сторонний сервис
2. Bonus Abuse — race condition на создании бонусов
3. IDOR — изменение идентификаторов пользователей в API
4. OAuth CSRF — проверка OAuth flow на отсутствие
state параметра5. Referral injection — углублённое тестирование на XSS/SQLi/Path Traversal
Статистика дня
⏱ Времени потрачено: ~2 часа
🔍 Инструменты: subfinder, amass, waybackurls, curl, grep
📂 Собрано данных: 10+ API endpoints, 50+ исторических URL
🎯 Потенциальных векторов: 5 high-priority
Мысли вслух
Gambling платформы — всегда интересная цель. Там где деньги, там всегда найдутся баги в бизнес-логике. Особенно интересует интеграция со сторонними сервисами авторизации — видел много кейсов, где подпись либо не проверялась вообще, либо проверялась криво.
Referral system тоже выглядит подозрительно. Полное отсутствие валидации input’а — это красный флаг размером с Китай. Завтра покопаю глубже с Burp Suite.
Пока что чувствую, что здесь есть минимум 1-2 бага на $750+. Auth bypass через сторонний сервис может потянуть на Critical ($1500-5000), если повезёт с PoC.
Технические детали для себя:
• Гео-блок обходится через VPN (region: EU)
• WAF Cloudflare — нужно готовить обфускацию payload’ов
• SPA архитектура — все endpoints в JS, DevTools обязателен
• Минимальная инфраструктура извне → копать вглубь, а не вширь
Продолжение следует…
💻 Stay tuned for Day 2!
#BugBounty #InfoSec #RedTeam #Pentesting #CyberSecurity #ДневникХакера #Recon
🤖 День практики с AI-агентами: строю умную автоматизацию
Сегодня погружался в создание AI-агентов и настройку автоматизации — тестировал связку Telegram + OpenAI + инструменты для парсинга.
Что в схеме:
• Telegram-триггер ловит сообщения из чата
• AI-агент на основе OpenAI обрабатывает запросы
• Память (Simple Memory) сохраняет контекст разговора
• SerpAPI подключен как инструмент для поиска данных
• Результат возвращается обратно в Telegram
⚙ Зачем это нужно? Такие связки позволяют автоматизировать рутину: от обработки входящих заявок до сбора данных и аналитики. Можно собирать информацию о компаниях, мониторить уязвимости, парсить новости по ключевым словам — всё в автоматическом режиме.
💡 Что планирую дальше: Хочу добавить больше инструментов в арсенал агента — парсеры CVE, интеграцию с bug bounty платформами, автоматический анализ отчётов. Потенциал огромный, особенно для InfoSec-задач.
#AIagents #автоматизация #telegram #openai #infosec #bugbounty #этичныйхакинг
Сегодня погружался в создание AI-агентов и настройку автоматизации — тестировал связку Telegram + OpenAI + инструменты для парсинга.
Что в схеме:
• Telegram-триггер ловит сообщения из чата
• AI-агент на основе OpenAI обрабатывает запросы
• Память (Simple Memory) сохраняет контекст разговора
• SerpAPI подключен как инструмент для поиска данных
• Результат возвращается обратно в Telegram
⚙ Зачем это нужно? Такие связки позволяют автоматизировать рутину: от обработки входящих заявок до сбора данных и аналитики. Можно собирать информацию о компаниях, мониторить уязвимости, парсить новости по ключевым словам — всё в автоматическом режиме.
💡 Что планирую дальше: Хочу добавить больше инструментов в арсенал агента — парсеры CVE, интеграцию с bug bounty платформами, автоматический анализ отчётов. Потенциал огромный, особенно для InfoSec-задач.
#AIagents #автоматизация #telegram #openai #infosec #bugbounty #этичныйхакинг
🔥 Дневник хакера: Автосканеры — это ловушка
23.10.2025
Написал свой сканер уязвимостей на Python. Запустил на таргете из BB программы 🎯
Результат сканера:
✅ 15 уязвимостей
✅ 8x CRITICAL (CVSS 9.1)
✅ Потенциал: $5000-15000
Я уже праздновал… пока не проверил вручную 😅
curl -s https://target/.env | head -3
# <!doctype html>
# <html lang="ru">
Реальность: ВСЕ “уязвимости” = одна HTML страница! 🤦♂️
Сайт на Vue.js/Vite возвращает 200 OK для любого пути (SPA routing). Мой сканер проверял только status код, без анализа контента.
Итого: 15 “критичных” находок → 0 реальных багов → $0
Уроки 📚
❌ HTTP 200 ≠ уязвимость
❌ Автосканеры без validation = мусор
✅ Content-Type + hash проверка обязательны
✅ В BB платят за качество, не за количество
Что реально работает 💪
Ручной анализ JS (1.3MB) → нашёл 10 API endpoints:
•
•
•
•
Прогноз: $2000-12000 если найду 2-3 бага завтра через Burp
Вывод
Автосканеры — это 10% работы
Реальные баги — это 90% мозгов + Burp Suite
Завтра иду в ручную атаку 🎯
#BugBounty #InfoSec #RedTeam #Pentesting
23.10.2025
Написал свой сканер уязвимостей на Python. Запустил на таргете из BB программы 🎯
Результат сканера:
✅ 15 уязвимостей
✅ 8x CRITICAL (CVSS 9.1)
✅ Потенциал: $5000-15000
Я уже праздновал… пока не проверил вручную 😅
curl -s https://target/.env | head -3
# <!doctype html>
# <html lang="ru">
Реальность: ВСЕ “уязвимости” = одна HTML страница! 🤦♂️
Сайт на Vue.js/Vite возвращает 200 OK для любого пути (SPA routing). Мой сканер проверял только status код, без анализа контента.
Итого: 15 “критичных” находок → 0 реальных багов → $0
Уроки 📚
❌ HTTP 200 ≠ уязвимость
❌ Автосканеры без validation = мусор
✅ Content-Type + hash проверка обязательны
✅ В BB платят за качество, не за количество
Что реально работает 💪
Ручной анализ JS (1.3MB) → нашёл 10 API endpoints:
•
/users/login_tg_user/ 🔥 Auth bypass вектор•
/bonus_events/create_subscribe_bonuses/ 💰 Race condition•
/users/get_me/ 👤 IDOR potential•
/api/social/login/google-oauth2/ 🔐 OAuth CSRFПрогноз: $2000-12000 если найду 2-3 бага завтра через Burp
Вывод
Автосканеры — это 10% работы
Реальные баги — это 90% мозгов + Burp Suite
Завтра иду в ручную атаку 🎯
#BugBounty #InfoSec #RedTeam #Pentesting
🔥 Дневник Хакера | Первый Bug Bounty репорт в новой программе
24.10.2025
Что тестировал 🎯
❌ IDOR на User endpoints → SPA routing блокирует, защита работает
❌ Self-referral attack → Защита есть, ref_balance не изменился
✅ Email Verification Bypass → Нашёл уязвимость! 🔍
Суть находки 💡
После регистрации система отправляет email подтверждения, но НЕ требует его для доступа к функционалу.
Response:
{
"activated": false, // Email не подтверждён
"demo_balance": "3000.00", // Но средства доступны
"is_partner": true // Статус активен
}
+ sessionid cookie // Сессия выдана
Impact 💣
1. Email Bombing:
Регистрация 1000+ аккаунтов с email жертвы → спам-флуд
2. Identity Bypass:
Можно использовать ЛЮБОЙ email без подтверждения владения
3. Mass Fake Accounts:
Неограниченные фейковые аккаунты для манипуляций
4. Compliance Issues:
Нарушение KYC/AML для gambling платформ
Классификация 📊
CWE-287: Improper Authentication
CVSS: 5.0 (Medium)
Severity: Средний
Expected bounty: $300-750 USDT 💰
Почему это НЕ “best practice”? 🤔
Программа исключает:
“Отсутствие 2FA/email при изменении данных в активной сессии”
Моя находка:
✅ Про ОТСУТСТВИЕ верификации при регистрации
✅ 5 конкретных attack scenarios
✅ Доказанное влияние на безопасность
✅ Подходит под скоуп программы!
Статистика 📈
⏱ Времени: ~5 часов
🔍 Векторов протестировано: 8
✅ Найдено уязвимостей: 1 (Medium)
📝 Репортов отправлено: 1
💰 Потенциал: $300-750 USDT
Главный урок дня 📚
1 качественный репорт с детальным impact analysis
10 слабых находок без доказательств
В Bug Bounty платят за качество, а не за количество! 🎯
Что в репорте 📋
✅ Детальное описание уязвимости
✅ 5 attack scenarios с примерами
✅ Impact assessment
✅ PoC с screenshots из Burp
✅ HTTP Request/Response
✅ Рекомендации по исправлению
✅ Ссылки на стандарты (OWASP, CWE, NIST)
Выводы 💭
Что работает:
✅ Ручное тестирование > автоматизация
✅ Понимание контекста и impact
✅ Профессиональная документация
Что не сработало:
❌ IDOR на очевидных путях
❌ Базовые self-referral атаки
Next Steps 🚀
Ожидание ответа: до 5 рабочих дней
Шанс приёмки: ~60-70%
Продолжение следует… 💪
#BugBounty #InfoSec #Pentesting #CWE287 #ResponsibleDisclosure
24.10.2025
Что тестировал 🎯
❌ IDOR на User endpoints → SPA routing блокирует, защита работает
❌ Self-referral attack → Защита есть, ref_balance не изменился
✅ Email Verification Bypass → Нашёл уязвимость! 🔍
Суть находки 💡
После регистрации система отправляет email подтверждения, но НЕ требует его для доступа к функционалу.
Response:
{
"activated": false, // Email не подтверждён
"demo_balance": "3000.00", // Но средства доступны
"is_partner": true // Статус активен
}
+ sessionid cookie // Сессия выдана
Impact 💣
1. Email Bombing:
Регистрация 1000+ аккаунтов с email жертвы → спам-флуд
2. Identity Bypass:
Можно использовать ЛЮБОЙ email без подтверждения владения
3. Mass Fake Accounts:
Неограниченные фейковые аккаунты для манипуляций
4. Compliance Issues:
Нарушение KYC/AML для gambling платформ
Классификация 📊
CWE-287: Improper Authentication
CVSS: 5.0 (Medium)
Severity: Средний
Expected bounty: $300-750 USDT 💰
Почему это НЕ “best practice”? 🤔
Программа исключает:
“Отсутствие 2FA/email при изменении данных в активной сессии”
Моя находка:
✅ Про ОТСУТСТВИЕ верификации при регистрации
✅ 5 конкретных attack scenarios
✅ Доказанное влияние на безопасность
✅ Подходит под скоуп программы!
Статистика 📈
⏱ Времени: ~5 часов
🔍 Векторов протестировано: 8
✅ Найдено уязвимостей: 1 (Medium)
📝 Репортов отправлено: 1
💰 Потенциал: $300-750 USDT
Главный урок дня 📚
1 качественный репорт с детальным impact analysis
10 слабых находок без доказательств
В Bug Bounty платят за качество, а не за количество! 🎯
Что в репорте 📋
✅ Детальное описание уязвимости
✅ 5 attack scenarios с примерами
✅ Impact assessment
✅ PoC с screenshots из Burp
✅ HTTP Request/Response
✅ Рекомендации по исправлению
✅ Ссылки на стандарты (OWASP, CWE, NIST)
Выводы 💭
Что работает:
✅ Ручное тестирование > автоматизация
✅ Понимание контекста и impact
✅ Профессиональная документация
Что не сработало:
❌ IDOR на очевидных путях
❌ Базовые self-referral атаки
Next Steps 🚀
Ожидание ответа: до 5 рабочих дней
Шанс приёмки: ~60-70%
Продолжение следует… 💪
#BugBounty #InfoSec #Pentesting #CWE287 #ResponsibleDisclosure
🔥 Дневник Хакера
Привет, братва! 💻 Сегодня был серьёзный заход, и, кажется, я попал в точку! 🎯
Что было:
Зашёл на одну из программ bug bounty (NDA, не могу раскрывать детали 🤫), и сразу понял — надо копать. Начал с базовой разведки: проверил инфраструктуру, просканировал домены, посмотрел на архитектуру.
Неожиданный поворот:
Пока лазил по структуре сайта, наткнулся на один endpoint, который… как бы это сказать… был слишком разговорчивым 😏 Оказалось, что там лежит полная техническая документация API. Причём не 10-20 точек входа, а ровно 995 endpoints! 🤯
И самое интересное — там были внутренние команды, которые явно не должны были быть публичными. Типа тех, что помечены как “только для internal use” 🔓
Что сделал:
✅ Проверил масштаб находки (995 точек входа — это не шутки!)
✅ Задокументировал всё по полной программе
✅ Сделал 10 скринов с терминалом (выглядело как из фильма про хакеров 😎)
✅ Написал детальный отчёт на 3 страницы
✅ Отправил в программу
Severity: High (по моей оценке 🎯)
Потенциал: Если примут на заявленном уровне — это может быть очень хорошо 💰 Программа платит прилично за такие находки.
Что дальше:
Теперь жду ответа (по правилам до 5 рабочих дней). А пока планирую копать глубже — эта находка открыла мне глаза на всю структуру системы. Благодаря этим 995 endpoints теперь знаю ВСЕ точки входа для дальнейшего тестирования. Чувствую, что могу найти что-то посерьёзнее (тип Critical) 🕵️
Уроки дня:
1️⃣ Всегда проверяй очевидные вещи — иногда самое ценное лежит на поверхности
2️⃣ Документация — твой друг. Особенно если она случайно публичная 😏
3️⃣ Терпение и методичность > хаотичный брутфорс
4️⃣ Скрины и подробный отчёт = профессионализм
5️⃣ Масштаб имеет значение: 995 endpoints vs 10 — это разные severity!
Мысли вслух:
Если примут как High — будет огонь! 🔥 Если понизят до Medium — ну что ж, тоже неплохо. Если отклонят — напишу апелляцию с аргументами, у меня есть чем крыть 😎
А пока продолжаю изучать найденное. У меня теперь есть карта всей системы — как у искателя сокровищ 🗺️💎 Следующий шаг — искать IDOR и authorization bypass на этих 995 точках входа. Это может выстрелить в Critical!
Статистика дня:
⏱️ Время на поиск: ~2 часа
📊 Найдено endpoints: 995
📝 Отправлено отчётов: 1
🎯 Severity: High
💰 Ожидание: 5 рабочих дней
P.S. Да, я знаю про NDA. Поэтому никаких названий компаний, доменов или деталей. Но поверьте, это интересная история 😉
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity
Привет, братва! 💻 Сегодня был серьёзный заход, и, кажется, я попал в точку! 🎯
Что было:
Зашёл на одну из программ bug bounty (NDA, не могу раскрывать детали 🤫), и сразу понял — надо копать. Начал с базовой разведки: проверил инфраструктуру, просканировал домены, посмотрел на архитектуру.
Неожиданный поворот:
Пока лазил по структуре сайта, наткнулся на один endpoint, который… как бы это сказать… был слишком разговорчивым 😏 Оказалось, что там лежит полная техническая документация API. Причём не 10-20 точек входа, а ровно 995 endpoints! 🤯
И самое интересное — там были внутренние команды, которые явно не должны были быть публичными. Типа тех, что помечены как “только для internal use” 🔓
Что сделал:
✅ Проверил масштаб находки (995 точек входа — это не шутки!)
✅ Задокументировал всё по полной программе
✅ Сделал 10 скринов с терминалом (выглядело как из фильма про хакеров 😎)
✅ Написал детальный отчёт на 3 страницы
✅ Отправил в программу
Severity: High (по моей оценке 🎯)
Потенциал: Если примут на заявленном уровне — это может быть очень хорошо 💰 Программа платит прилично за такие находки.
Что дальше:
Теперь жду ответа (по правилам до 5 рабочих дней). А пока планирую копать глубже — эта находка открыла мне глаза на всю структуру системы. Благодаря этим 995 endpoints теперь знаю ВСЕ точки входа для дальнейшего тестирования. Чувствую, что могу найти что-то посерьёзнее (тип Critical) 🕵️
Уроки дня:
1️⃣ Всегда проверяй очевидные вещи — иногда самое ценное лежит на поверхности
2️⃣ Документация — твой друг. Особенно если она случайно публичная 😏
3️⃣ Терпение и методичность > хаотичный брутфорс
4️⃣ Скрины и подробный отчёт = профессионализм
5️⃣ Масштаб имеет значение: 995 endpoints vs 10 — это разные severity!
Мысли вслух:
Если примут как High — будет огонь! 🔥 Если понизят до Medium — ну что ж, тоже неплохо. Если отклонят — напишу апелляцию с аргументами, у меня есть чем крыть 😎
А пока продолжаю изучать найденное. У меня теперь есть карта всей системы — как у искателя сокровищ 🗺️💎 Следующий шаг — искать IDOR и authorization bypass на этих 995 точках входа. Это может выстрелить в Critical!
Статистика дня:
⏱️ Время на поиск: ~2 часа
📊 Найдено endpoints: 995
📝 Отправлено отчётов: 1
🎯 Severity: High
💰 Ожидание: 5 рабочих дней
P.S. Да, я знаю про NDA. Поэтому никаких названий компаний, доменов или деталей. Но поверьте, это интересная история 😉
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity