Не просто пассивный просмотр

WebSocket

Полноценная работа с WebSocket как с HTTP: перехват и правки, match & replace по сообщениям, фаззинг полезной нагрузки в Strike, OAST через Echo и шаги над WebSocket в тех же автоматических сценариях Chain, что и для HTTP.

Скачать для macOS Все возможности →

KarmaGate - Gate (WebSocket)

Параметры фильтра: Скрыто типов: 2; Расш. скрыты

Фильтр

#	URL	Msgs	Sent	Recv
1	wss://vulnweb.karmagate.com/ws/chat	12	1.2 KB	4.8 KB
2	wss://vulnweb.karmagate.com/ws/notifications	5	256 B	1.1 KB
3	wss://vulnweb.karmagate.com/ws/orders	24	3.4 KB	12.7 KB

wss://vulnweb.karmagate.com/ws/chat 12 messages

{"type":"connection_init"}

12:33:46 26 B → sent

{"type":"connection_ack"}

12:33:46 25 B ← recv

{"type":"subscribe","id":"1","payload":{"query":"subscription { orders { id status } }"}}

12:33:47 89 B → sent

{"type":"next","id":"1","payload":{"data":{"orders":{"id":"ORD-4521","status":"pending"}}}}

12:34:02 91 B ← recv

{"type":"next","id":"1","payload":{"data":{"orders":{"id":"ORD-4522","status":"shipped","tracking":"1Z999AA..."}}}}

12:34:15 115 B ← recv

Полноценный объект пентеста

Перехват и история

Те же привычные вкладки Gate: HTTP и WebSocket рядом. Полная история кадров, фильтры и аннотации — без отдельного «режима просмотра».

Match & replace по кадрам

Правьте исходящие и входящие сообщения так же осмысленно, как HTTP-запросы — на лету и по правилам.

Фаззинг в Strike

Пропускайте содержимое WS-сообщений через тот же высокоскоростной движок, что и REST: 1000+ запросов/сек, четыре режима атаки.

OAST через Echo

Отслеживайте слепые взаимодействия по WebSocket — встроенный OAST-сервер ловит обратные вызовы в реальном времени.

Связка с Chain

Шаги над WebSocket живут в одной цепочке с HTTP — общий контекст, извлечение данных и условная логика.

Полная поддержка HTTP/2

Современный стек подключений: WebSocket поверх HTTP/2, бинарные и текстовые кадры, корректная работа с прокси и WAF.

Что можно тестировать через WebSocket

→

Чаты и messaging

Перехват личных сообщений, обход проверок прав и подмена идентификаторов отправителя.

→

Realtime-приложения

Тестирование игровых движков, дашбордов и трейдинговых систем — состояния и race conditions.

→

GraphQL-подписки

Фаззинг подписок, проверка авторизации событий и утечек данных через WS-каналы.

→

Двусторонние API

Атаки на bidirectional-протоколы: подмена команд, повторное использование токенов, инъекции.

KarmaGate vs другие прокси

WebSocket в KarmaGate — не отдельный режим «просто посмотреть», а полноценный объект пентеста.

Возможность

KarmaGate

Другие прокси

Перехват кадров

✓ В Gate

Часто только просмотр

Match & replace

✓

Ограниченно

Фаззинг WS-сообщений

✓ В Strike

Свои скрипты

OAST для слепых проверок

✓ Echo

Внешние сервисы

Цепочки HTTP + WS

✓ В Chain

Разные инструменты

Проверьте live-трафик в Gate

Откройте WebSocket рядом с HTTP и собирайте сценарии в Chain, не выходя из KarmaGate.

Скачать для macOS Многошаговые сценарии в Chain →