📓 Дневник хакера: 5 из 5 🎯
Сегодня в рамках одной из публичных bug bounty‑программ (одна крупная финтех-компания) удалось отстрелить пять уязвимостей за сессию.
Подробности, код и скриншоты сейчас под NDA — условия программы жёсткие, поэтому никаких раскрытий до оф. фикса.
🔍 Форматы находок:
• 💥 IDOR (доступ к чужим данным при смене ID)
• 📂 Открытые служебные директории и конфиги (.git/.env/backup)
• 🌐 CORS‑misconfig (ACAO на произвольный Origin)
• 🔀 Open Redirect (302 на внешний домен)
• 📜 Уязвимые фронтовые библиотеки (jQuery 1.10.2)
Все PoC собраны, логи сохранены, баги отправлены в триаж.
Жду мержей в багтрекере и утренних криков «кто деплоил это в прод?!» 🤭
На память себе: даже в 2025‑м классика вроде “/profile/{id}” и старого jQuery продолжает приносить 🍪 и 💰. Главное — смотреть под капот чуть глубже, чем остальные.
#bugbounty #дневникхакера #pentest #hackerlife #websec@timcore_hacking
Сегодня в рамках одной из публичных bug bounty‑программ (одна крупная финтех-компания) удалось отстрелить пять уязвимостей за сессию.
Подробности, код и скриншоты сейчас под NDA — условия программы жёсткие, поэтому никаких раскрытий до оф. фикса.
🔍 Форматы находок:
• 💥 IDOR (доступ к чужим данным при смене ID)
• 📂 Открытые служебные директории и конфиги (.git/.env/backup)
• 🌐 CORS‑misconfig (ACAO на произвольный Origin)
• 🔀 Open Redirect (302 на внешний домен)
• 📜 Уязвимые фронтовые библиотеки (jQuery 1.10.2)
Все PoC собраны, логи сохранены, баги отправлены в триаж.
Жду мержей в багтрекере и утренних криков «кто деплоил это в прод?!» 🤭
На память себе: даже в 2025‑м классика вроде “/profile/{id}” и старого jQuery продолжает приносить 🍪 и 💰. Главное — смотреть под капот чуть глубже, чем остальные.
#bugbounty #дневникхакера #pentest #hackerlife #websec@timcore_hacking
📓Дневник хакера: первый день в баг-баунти Яндекса 🚀
Сегодня стартовал мой новый рейд — баг-баунти по Яндексу. Это была жесткая, но мегакрутая катка:
• Разобрал все правила, оферты и скоупы — чётко, чтоб не спалиться и делать дело в белую. Да, тут не шутки, охота идет по жестким правилам.
• Впитал дух программы, чтобы знать, что платят, а за что даже не взглянут. Ну и понял, куда стрелять — и где совсем нельзя трогать.
• Написал несколько скриптов на Python для сбора и фильтрации поддоменов, проверки IP в RIPE stat и автоматического фаззинга параметров — чтоб не лазить руками, а жечь баги машиной.
• Посмотрел, как живые домены Яндекса пасутся, и как фильтр убирает “пустышки” — кайф, но с парочкой нюансов в API запросах.
В целом, первый день был в подготовке, структуре и понимании, как играть по-крупному. Завтра буду ковырять дальше и пробовать нарезать реальные уязвы.
Не забывай: багбаунти — это марафон, а не спринт. Главное — умная автоматизация и жёсткий контроль, чтоб не вылететь в бан.
Stay tuned, впереди будет ещё больше грязи, скриптов и взломов! 💣
#дневникхакера #bugbounty #яндекс #python #hackerlife
Сегодня стартовал мой новый рейд — баг-баунти по Яндексу. Это была жесткая, но мегакрутая катка:
• Разобрал все правила, оферты и скоупы — чётко, чтоб не спалиться и делать дело в белую. Да, тут не шутки, охота идет по жестким правилам.
• Впитал дух программы, чтобы знать, что платят, а за что даже не взглянут. Ну и понял, куда стрелять — и где совсем нельзя трогать.
• Написал несколько скриптов на Python для сбора и фильтрации поддоменов, проверки IP в RIPE stat и автоматического фаззинга параметров — чтоб не лазить руками, а жечь баги машиной.
• Посмотрел, как живые домены Яндекса пасутся, и как фильтр убирает “пустышки” — кайф, но с парочкой нюансов в API запросах.
В целом, первый день был в подготовке, структуре и понимании, как играть по-крупному. Завтра буду ковырять дальше и пробовать нарезать реальные уязвы.
Не забывай: багбаунти — это марафон, а не спринт. Главное — умная автоматизация и жёсткий контроль, чтоб не вылететь в бан.
Stay tuned, впереди будет ещё больше грязи, скриптов и взломов! 💣
#дневникхакера #bugbounty #яндекс #python #hackerlife
🔥 НОВОГОДНИЙ ТЕХНИЧЕСКИЙ МАРАФОН 🔥
Пока все праздновали Новый Год, я праздновал по-своему - 124 страницы технического контента! 💻💣
Сегодня разобрал в деталях:
🎯 gobuster - швейцарский нож для брутфорса. Dir, DNS, vhost, S3, fuzz - семь режимов атаки в одном инструменте. Когда нужно найти /admin, который админ думал что спрятал 😏
🔍 lbd - детектор балансировщиков. 15 KB bash-скрипта, который показывает всю инфраструктуру за фасадом. Один домен, а за ним - армия серверов. Знать = половина успеха!
🛡️ wafw00f - рентген для WAF'ов. Cloudflare? Imperva? ModSecurity? Распознаёт 150+ файерволов. Потому что сначала детект WAF, потом атака. Не наоборот 💪
📡 arping - L2 снайпер. Работает на канальном уровне, обходя IP-фильтры. Duplicate IP detection, pre-MITM recon, живой asset discovery. Пока все пингуют через IP, я работаю на MAC level 😎
🌐 atk6-detect-new-ip6 - IPv6 радар из THC-IPv6 toolkit. Видит каждого кто подключается к сети через ICMPv6 DAD. Автоматизация через скрипты = auto-targeting, auto-scanning, auto-alerting. Welcome to IPv6 era! 🚀
Каждый инструмент - с командами, real-world сценариями, bypass техниками, blue team защитой и pro tips. Никакой воды - только payload'ы, флаги, практика.
124 страницы = марафон, а не спринт. Но когда любишь то что делаешь - это не работа, это кайф 🔥
2026 начался правильно! Новый год, новые скиллы, новые знания в арсенале 💣
#cybersecurity #hacking #pentesting #redteam #bugbounty #infosec #КибербезопасностьЭтоМоё #HackerLife #NewYear2026 #124Pages
Пока все праздновали Новый Год, я праздновал по-своему - 124 страницы технического контента! 💻💣
Сегодня разобрал в деталях:
🎯 gobuster - швейцарский нож для брутфорса. Dir, DNS, vhost, S3, fuzz - семь режимов атаки в одном инструменте. Когда нужно найти /admin, который админ думал что спрятал 😏
🔍 lbd - детектор балансировщиков. 15 KB bash-скрипта, который показывает всю инфраструктуру за фасадом. Один домен, а за ним - армия серверов. Знать = половина успеха!
🛡️ wafw00f - рентген для WAF'ов. Cloudflare? Imperva? ModSecurity? Распознаёт 150+ файерволов. Потому что сначала детект WAF, потом атака. Не наоборот 💪
📡 arping - L2 снайпер. Работает на канальном уровне, обходя IP-фильтры. Duplicate IP detection, pre-MITM recon, живой asset discovery. Пока все пингуют через IP, я работаю на MAC level 😎
🌐 atk6-detect-new-ip6 - IPv6 радар из THC-IPv6 toolkit. Видит каждого кто подключается к сети через ICMPv6 DAD. Автоматизация через скрипты = auto-targeting, auto-scanning, auto-alerting. Welcome to IPv6 era! 🚀
Каждый инструмент - с командами, real-world сценариями, bypass техниками, blue team защитой и pro tips. Никакой воды - только payload'ы, флаги, практика.
124 страницы = марафон, а не спринт. Но когда любишь то что делаешь - это не работа, это кайф 🔥
2026 начался правильно! Новый год, новые скиллы, новые знания в арсенале 💣
#cybersecurity #hacking #pentesting #redteam #bugbounty #infosec #КибербезопасностьЭтоМоё #HackerLife #NewYear2026 #124Pages