В мире этичного хакинга, быть невидимым зачастую так же важно, как и получить первичный доступ. Подумайте сами: если вы проникнете в систему, но оставите за собой следы в логах, идентификаторах процессов и временных метках файлов, то практически оставите свою подпись на месте преступления.

Этот гайд посвящен скрытности и bash-скриптингу. Мы говорим не о супер эксплойтах, а о низкоуровневой невидимости, которая заставит команду криминалистов чесать затылки.

В этом отчете я делюсь историей о том, как простая страница входа привела к получению полного административного доступа. Всё началось с базовой разведки и превратилось в одну из самых серьезных уязвимостей, которые я обнаружил. Вот как это произошло.

Приветствуем дорогих читателей! В этой статье мы детально рассмотрим все аспекты поиска информации о человеке по фотографии, уделив особое внимание трем основным направлениям. Речь пойдет о возможностях поисковых систем, которые многие недооценивают, хотя они могут дать неожиданно точные данные при правильном использовании. Мы разберем специализированные онлайн‑сервисы, работающие на основе нейросетей и сложных алгоритмов распознавания лиц. Отдельное внимание уделим Telegram‑ботам, которые сочетают в себе удобство мобильного использования с мощными поисковыми технологиями. Эти инструменты помогут вам получить данные о персоне, включая имя, телефон и другую полезную информацию.

Вы узнаете не только о технических возможностях каждого метода, но и о практических нюансах их применения. Мы расскажем, как добиться максимальной точности поиска данных и какие параметры фотографии влияют на результат.

Привет, я nav1n0x — администратор баз данных по профессии, исследователь безопасности, а также баг-хантер по призванию, с фокусом на уязвимости, которые часто остаются незамеченными. Мне нравится исследовать логику приложений, забытые параметры и превращать свои предположения в критические находки (как эта SQL-инъекция, скрытая в баннере с согласием на использование файлов cookie). Моя цель — делиться практическими техническими статьями, которые помогают исследователям и разработчикам понять, откуда берутся эти уязвимости — и, что более важно, как их предотвратить.

Сегодня я расскажу вам об интересной уязвимости, которую я нашёл в одном закрытом баг-баунти проекте: простая HTML-инъекция превратилась в полноценную SSRF с утечкой учетных данных AWS.

Заварите себе кофе, и давайте начнем! 😉

Пошаговый разбор того, как простая уязвимость IDOR раскрыла конфиденциальные личные данные, позволила несанкционированное отправление отзывов и сделала возможной отмену билетов на рейсы, что затронуло пассажиров по всей Индии.

Это была очередная обыкновенная ночь. Мой друг попросил меня зайти поиграть в Valorant — типичный вечерний ритуал. Но по какой-то причине я отказался. Вместо этого я запустил Burp Suite и начал искать баги (мое лучшее решение когда-либо, потому что в ту ночь я нашел три бага в TikTok, которые в итоге принесли мне $3,000).

В этой статье разбирем XSS уязвимость, обнаруженную в парсере Reddit, который при определенном условии (запланированных постах)  не очищал гиперссылки. Уязвимость была не в живом контенте — она скрывалась в редакторе. Эта находка принесла $5000 вознаграждения.

Уязвимость за 60 секунд  

Цель: Запланированные посты на Reddit
Вектор: Вредоносная гиперссылка, встроенная с использованием javascript
Триггер: Редактирование запланированного поста через интерфейс  
Влияние: XSS на привилегированных пользователей (администраторов/модераторов) в один клик

Нейросети продолжают стремительно развиваться, и, если ещё пару лет назад генерация изображений по текстовому описанию вызывала у людей восторг и удивление, то сегодня ИИ-инструменты применяются для большинства повседневных задач, включая задачи по созданию презентаций.

Если нужно быстро и качественно подготовить презентацию, не имея навыков дизайнера, этот материал будет полезен: здесь мы собрали подборку сервисов с использованием искусственного интеллекта, которые облегчают работу и экономят время при создании слайдов. В статье подробно рассмотрим как платные, так и бесплатные инструменты, оценим, насколько хорошо они справляются с поставленными задачами, выясним, какие из них поддерживают русский язык, и поможем выбрать сервис, который подойдет именно под вашу конкретную задачу.

Привет!

Меня зовут Джебарсон Иммануэль, мне 19 лет, я исследователь безопасности и охотник за уязвимостями. Мне посчастливилось помочь обеспечить безопасность более 50 организаций, включая такие гиганты, как Oracle, eBay и Bosch.

В этой статье я расскажу, как простое сканирование портов в Google привело к вознаграждению в $500.

В этом посте я расскажу, как обнаружил уязвимость, которая позволяет злоумышленнику менять пароли других пользователей, что может привести к захвату аккаунтов. Также я обнаружил, что токен восстановления пароля не аннулируется после использования.

Мир искусственного интеллекта стремительно меняет представление о работе с изображениями. То, что раньше казалось фантастикой — например, оживить старый снимок, превратив его в реалистичную анимацию, — теперь доступно каждому. С помощью нейросети можно оживить фото за несколько секунд: достаточно загрузить изображение и выбрать параметры, чтобы получить динамичную версию, где картинка оживает.

В этом материале рассмотрим, как оживить фото с помощью нейросети, чем отличаются популярные онлайн-сервисы и какой инструмент подойдет именно вам — в зависимости от целей и качества исходного изображения.

На прошлой неделе я решил испытать возможности iScan.today, так как видел о нем много положительных отзывов.

Как только мне прислали ответ, я сразу начал тестировать свои цели.

Искусственный интеллект уже давно вышел за пределы научной фантастики — сегодня он не просто существует, а активно взаимодействует с людьми. Одной из самых впечатляющих реализаций является Character AI — инструмент, позволяющий создать уникального бота-персонажа, способного вести живое общение, проявлять эмоции, адаптироваться под стиль пользователя и даже обучаться в процессе диалога. Но character ai что это на самом деле, как им пользоваться и зачем вообще создавать вымышленного собеседника — разбираемся по порядку.

Проверка электронной почты — это важная мера безопасности, позволяющая подтвердить личность пользователя и предотвратить несанкционированный доступ. Однако, обнаруженная мной уязвимость в процессе проверки электронной почты на сайте app.target.com, позволяет злоумышленникам обойти эту меру безопасности. В этой статье рассматриваются детали уязвимости, ее влияние и необходимые действия по устранению.

Несколько месяцев назад я отключил JavaScript в своем браузере, чтобы проверить, остались ли в современном интернете сервисы Google, которые все еще работают без JS. Как ни странно, форма восстановления имени пользователя все еще работала!

Привет, охотники! Это мой новый разбор, и он посвящён очень интересной находке — нарушению контроля доступа в платёжной платформе, благодаря которому у меня получилось создавать и подделывать счета.

Давайте начнём…

Сегодня я расскажу о баге, который позволял мне захватить любой аккаунт пользователя. Сначала это была проблема уровня P4, но я не стал сообщать о ней, а довёл до уровня P1 с помощью цепочки уязвимостей. Без лишних слов — начнём!

Я не имею права раскрывать информацию о цели, поэтому давайте назовём её example.com. Это был обычный сайт. Ничего особенного: можно создать аккаунт, войти, поменять пароль и так далее.

Как обычно, я создал два аккаунта. Сначала зарегистрировался и вошёл в аккаунт жертвы, после чего проверил все запросы и ответы через Burp Suite. Я обнаружил, что сайт использует какой-то CSRF-токен для защиты от CSRF-атак. В исходном коде страницы я заметил, что сайтом каждому пользователю присваивается userID. Это шестизначный идентификатор, поэтому его можно легко угадать.

Далее я перешёл в настройки аккаунта, изменил часть своей информации (я всё ещё нахожусь в аккаунте жертвы) и зафиксировал этот запрос.

Находить уязвимости в публичных программах — это одновременно захватывающе и прибыльно. В этом посте я расскажу, как обнаружил и использовал уязвимость обхода 2FA в одной публичной баг-баунти  программе (название скрыто, используется redacted.com из соображений конфиденциальности), что принесло мне в общей сложности $6000. Для лучшего понимания я поделюсь техническими деталями, включая пример HTTP-запроса, а также расскажу о результатах повторного тестирования.

Давайте по-честному. В 2025 году вроде бы уже все слышали слово «крипта», но стоит задать простой вопрос — «что это вообще такое?» — и у 8 из 10 людей в глазах появляется лёгкая паника. Типа: «ну это вроде как биткойн… и вроде как он где-то в интернете живёт…»

Давайте с этим разберемся, чтобы не чувствовать себя на крипто-рынке как школьник без айфона.

Криптовалюта — это просто деньги, но цифровые. Ни рубли, ни доллары, ни евро — это отдельная интернет валюта. Она не лежит у тебя в кошельке, её нельзя потрогать или порвать, но она при этом абсолютно реальна. Она существует в интернете и работает по своим законам. Главное отличие: никаких банков, никаких ЦБ, никаких дядек в костюмах с галстуками. Есть ты, есть твой кошелек, и есть блокчейн — технология, которая следит, чтобы всё было по-честному: никто не мог украсть, подделать или незаметно «допечатать» новые монеты.