Документация программного обеспечения

KarmaGate разработан и лицензирован ООО «КАРМАГЕЙТ». На данной странице размещена документация, содержащая описание функциональных характеристик программного обеспечения и информацию, необходимую для установки и эксплуатации программного обеспечения.

Описание функциональных характеристик программного обеспечения

Версия документа: 1.0 · апрель 2026

1. Общие сведения

1.1. Наименование программного обеспечения

KarmaGate

1.2. Назначение программного обеспечения

KarmaGate — десктопная платформа для комплексного анализа сетевого трафика, тестирования безопасности веб-приложений и автоматизации задач тестирования на проникновение (пентестинга). Программное обеспечение предназначено для специалистов по информационной безопасности, пентестеров, разработчиков и QA-инженеров, выполняющих задачи по выявлению уязвимостей, анализу HTTP/HTTPS/WebSocket-трафика, фаззингу параметров и автоматизации сценариев тестирования.

1.3. Область применения

  • Тестирование на проникновение (penetration testing) веб-приложений и API
  • Аудит информационной безопасности
  • Анализ и мониторинг сетевого трафика
  • Поиск и верификация уязвимостей (OWASP Top 10, CVE)
  • Автоматизация рутинных задач тестирования безопасности
  • Обучение специалистов по информационной безопасности

1.4. Класс программного обеспечения

Прикладное программное обеспечение общего назначения. Средство анализа и тестирования безопасности информационных систем.

1.5. Поддерживаемые платформы

  • Microsoft Windows 10/11 (x86_64; также доступны сборки ARM64)
  • macOS 12+ (Apple Silicon и Intel x86_64)
  • Linux x86_64 (Ubuntu 20.04+, Fedora 36+; также доступны сборки ARM64)

2. Перечень функциональных модулей

Программное обеспечение KarmaGate состоит из функциональных модулей, каждый из которых решает определённый класс задач в рамках процесса тестирования безопасности. Некоторые модули (Snag, Browser, Terminal, Project) встроены в интерфейс и не представлены отдельной вкладкой навигации.

МодульНазначение
1GateMITM-прокси, анализ HTTP/HTTPS/WebSocket-трафика, карта сайта (Sitemap/Crawler)
2SnagПерехватчик запросов с модификацией на лету (режим Gate)
3LoopРучное тестирование запросов (Repeater) с итерациями
4StrikeФаззинг параметров с множественными режимами атаки
5ProbeСканер уязвимостей на основе шаблонов Nuclei
6EchoВнеполосное тестирование (OAST) для обнаружения слепых уязвимостей
7ChainАвтоматизация рабочих процессов (DAG, JavaScript-движок Goja, 33+ типов узлов)
8MobileАнализ мобильных приложений Android и iOS Simulator (эмулятор, Frida, ADB)
9BindСовместная работа в реальном времени через relay-сервер
10ReapАгрегатор результатов из всех модулей
11TerminalВстроенный терминал с интеграцией внешних инструментов
12BrowserУправление Google Chrome или Chromium с проксированием через Gate
13ProjectУправление проектами и хранение данных тестирования

3. Описание функциональных модулей

3.1. Gate — MITM-прокси

Модуль Gate реализует прозрачный MITM-прокси для перехвата, анализа и модификации сетевого трафика.

Ключевые функции:

  • Перехват HTTP/1.1 и HTTP/2 с автоматическим согласованием протокола (ALPN)
  • Расшифровка HTTPS (TLS 1.2+) с динамической генерацией сертификатов ECDSA P-256
  • Двунаправленное проксирование WebSocket (ws/wss)
  • Автоматическая декомпрессия тел ответов (gzip, brotli, deflate)
  • Фильтрация по хостам, MIME-типам, кодам ответа
  • Поддержка upstream proxy и SOCKS-прокси
  • Кэширование сертификатов с TTL 12 часов
  • Поддержка бинарных TCP-протоколов
  • Обход и индексация сайта (Sitemap/Crawler)

3.2. Snag — перехватчик запросов

Интерактивный перехват HTTP-запросов, ответов и WebSocket-сообщений с модификацией перед отправкой. Активируется из модуля Gate.

  • Точки останова (breakpoints) с JavaScript-условиями
  • Модификация заголовков, тела запроса и параметров URL
  • Модификация ответов и WebSocket-фреймов
  • Отклонение (drop) нежелательных запросов
  • История перехватов (до 100 записей на элемент)

3.3. Loop — ручное тестирование (Repeater)

  • Многовкладочный интерфейс для параллельной работы с запросами
  • Динамические выражения и переменная $resp для цепочек запросов
  • Интеграция с цепочками аутентификации для автоматического входа
  • Персистентные WebSocket-соединения
  • Счётчик итераций для каждой вкладки

3.4. Strike — фаззинг

Высокопроизводительный фаззинг параметров веб-приложений на базе ffuf.

  • Режимы HTTP-фаззинга: Sniper, Pitchfork, Cluster Bomb, Battering Ram
  • WebSocket/TCP-фаззинг: Pitchfork, Cluster Bomb, Battering Ram (без Sniper)
  • Словари, числовые диапазоны, brute force, JavaScript-выражения в payload
  • Фильтрация по коду ответа, размеру, словам/строкам, регулярным выражениям
  • Автокалибровка, матчеры, экстракторы, replay результатов
РежимОписание
SniperПоследовательная подстановка каждой нагрузки в одну позицию (только HTTP)
PitchforkПараллельная подстановка из нескольких списков по индексу
Cluster BombПолный перебор всех комбинаций из нескольких списков
Battering RamОдна нагрузка подставляется во все позиции одновременно

3.5. Probe — сканер уязвимостей

  • Режимы: DAST, Full (шаблоны + DAST), Templates-only
  • Автообнаружение точек инъекции: URL, заголовки, cookies, тело (JSON/XML/form/raw)
  • Классификация: SQLi, XSS, SSRF, LFI, CMDi, XXE, RCE, IDOR, SSTI, OAuth
  • Уровни критичности: Critical, High, Medium, Low, Info
  • Интеграция с Echo (OAST) и автоматическая отправка в Reap
  • Метаданные: CVSS, CWE, доказательства, curl-команда для воспроизведения

3.6. Echo — OAST

  • Провайдеры: Interactsh (ProjectDiscovery) и KarmaEcho
  • Callback по протоколам: DNS, HTTP/HTTPS, FTP, LDAP, SMTP
  • Мониторинг взаимодействий в реальном времени
  • Отложенный опрос после завершения сканирования

3.7. Chain — автоматизация рабочих процессов

Визуальный конструктор рабочих процессов (DAG) с JavaScript-движком Goja. Поддерживает HTTP, WebSocket, TCP, условия, циклы, скрипты и более 33 типов узлов. Линейные цепочки аутентификации используются Loop и Gate для автоматического входа.

3.8. Mobile — анализ мобильных приложений

  • Android: эмуляторы (AVD), физические устройства через ADB, Frida, scrcpy
  • iOS Simulator на macOS: управление устройствами, Frida, проксирование через Gate
  • Перехват трафика мобильных приложений через MITM-прокси Gate
  • Установка CA-сертификата на устройство для HTTPS-перехвата

3.9. Bind — совместная работа

Совместные сессии нескольких пользователей в реальном времени через зашифрованное соединение с relay-сервером (WebSocket).

  • Роли: host, guest (full/receive/observe)
  • Presence tracking, встроенный чат
  • Синхронизация данных тестирования между клиентами

3.10. Reap — агрегатор результатов

  • Сбор уязвимостей из Probe, Terminal (Nuclei, SQLmap, Dalfox) и ручного ввода
  • Статусы: New, Confirmed, False Positive, Fixed
  • Фильтрация по источнику, критичности, хосту; полнотекстовый поиск
  • Экспорт результатов для отчётов

3.11. Terminal — встроенный терминал

  • Эмулятор на базе xterm.js (bash, zsh, PowerShell, cmd)
  • Автоимпорт результатов Nuclei, SQLmap и др. в Reap
  • Сниппеты, автодополнение, запись и воспроизведение сессий

3.12. Browser — автоматизация браузера

  • Управление экземплярами Google Chrome или Chromium через go-rod
  • Автообнаружение системного браузера или загрузка Chromium
  • Автоматическая настройка прокси Gate для каждого экземпляра

3.13. Project — управление проектами

  • Создание и переключение между проектами (.kgp)
  • Изолированное хранение трафика, уязвимостей и конфигурации
  • Переменные окружения на уровне проекта
  • SQLite-хранилище с WAL и индексацией

4. Дополнительные возможности

4.1. Система лицензирования

  • OAuth 2.0 Device Authorization Grant через Ory Hydra
  • Управление лицензиями через Keygen CE
  • Уровни: Free, Free Trial, Pro, Team
  • Machine fingerprinting, signed entitlements (Ed25519)
  • Оффлайн-режим с grace-периодом до 1 часа

4.2. Локализация

Английский и русский языки интерфейса (JSON i18n).

4.3. Хранение данных

SQLite (modernc.org/sqlite) с WAL; HTTP-сообщения, WebSocket-история, Loop, sitemap, конфигурация.

4.4. Безопасность

Динамические TLS-сертификаты ECDSA P-256; Ed25519 для лицензий; Free-версия: Gate, Loop, Snag, Strike.

5. Входные и выходные данные

Тип (вход)ОписаниеМодули
HTTP-трафикЗапросы и ответы через проксиGate, Snag, Loop
WebSocketСообщения text/binaryGate, Snag, Loop, Strike
URLЦели сканирования и обходаProbe, Crawler, Strike
СловариWordlists для фаззингаStrike
Шаблоны NucleiYAML-шаблоны уязвимостейProbe
КонфигурацииJSON проектов и workflowsProject, Chain
Тип (выход)ОписаниеМодули
Перехваченный трафикHTTP/WebSocket в хранилищеGate, Snag
Результаты фаззингаРесурсы, параметры, аномалииStrike
УязвимостиFindings с CVSS, CWE, evidenceProbe, Reap
OASTВнеполосные callbacksEcho
Карта сайтаСтруктура URL и ресурсовGate (Sitemap)
Логи терминалаЗаписи сессийTerminal
ОтчётыЭкспорт результатовReap

6. Требования к техническим средствам

ПараметрЗначение
Процессорx86_64 или ARM64, 2 ядра, 2.0 ГГц и выше
ОЗУ4 ГБ (рекомендуется 8 ГБ и более)
Диск500 МБ + данные проектов
ОСWindows 10/11, macOS 12+, Linux (Ubuntu 20.04+, Fedora 36+)
СетьEthernet или Wi-Fi, TCP/IP
Экран1280×720 и выше

Дополнительно: веб-браузер для настройки прокси; Google Chrome/Chromium для Browser; bash/zsh/PowerShell для Terminal.

7. Условия эксплуатации

  • Использование только в рамках авторизованного пентеста
  • Сетевое подключение к тестируемым системам
  • Работа на ПК или рабочей станции пользователя
  • Активная лицензия для Pro-модулей (Free: Gate, Loop, Snag, Strike)
  • Для Gate: настройка прокси в браузере/приложении и установка CA-сертификата
  • Для Echo: доступ к OAST-провайдеру

Инструкция по установке программного обеспечения

Версия 1.0 · апрель 2026

1. Общие сведения

1.1. Наименование

KarmaGate.

1.2. Назначение

KarmaGate — desktop-платформа для анализа сетевого трафика, тестирования безопасности и автоматизации пентестов: перехват HTTP/HTTPS/WebSocket, фаззинг, сканирование уязвимостей, автоматизация рабочих процессов и интеграция с инструментами безопасности.

1.3. Целевая аудитория

  • специалисты по информационной безопасности;
  • пентестеры и аудиторы безопасности;
  • разработчики программного обеспечения;
  • инженеры по обеспечению качества (QA).

2. Системные требования

2.1. Минимальные и рекомендуемые требования

ПараметрМинимальныеРекомендуемые
Процессорx86_64/ARM64, 2 ядра, 2 ГГц4 ядра, 3 ГГц и выше
ОЗУ4 ГБ8 ГБ и более
Диск500 МБ + данные проектов2 ГБ+ SSD
ОСWindows 10, macOS 12, Ubuntu 20.04Windows 11, macOS 14+, Ubuntu 22.04+
СетьEthernet/Wi-Fi, TCP/IPEthernet 1 Гбит/с
Экран1280×7201920×1080 и выше

2.2. Программные требования

  • веб-браузер (рекомендуется Google Chrome) для настройки прокси;
  • Google Chrome или Chromium для модуля Browser;
  • системная оболочка (bash, zsh или PowerShell) для модуля Terminal.

3. Установка на Windows

  1. Загрузка. Скачайте установщик с karmagate.ru/download (KarmaGate-Setup-x64.exe или ARM64-сборку).
  2. Запуск. Запустите установщик от имени администратора при необходимости; подтвердите UAC.
  3. Мастер установки. Примите лицензию, выберите каталог (по умолчанию C:\Program Files\KarmaGate\), нажмите «Установить».
  4. Завершение. Создаются ярлык на рабочем столе и запись в меню «Пуск».
  5. Первый запуск. Запустите KarmaGate из меню «Пуск» или с рабочего стола.

4. Установка на macOS

  1. Загрузка. Скачайте .dmg с karmagate.ru/download. Доступны ARM64 (Apple Silicon) и x86_64 (Intel).
  2. Монтирование. Откройте KarmaGate.dmg двойным щелчком.
  3. Установка. Перетащите KarmaGate.app в папку Applications.
  4. Первый запуск. Приложение подписано Apple Developer ID и нотаризовано; Gatekeeper не блокирует запуск.

5. Установка на Linux

5.1. AppImage

chmod +x KarmaGate.AppImage
./KarmaGate.AppImage

5.2. Архив tar.gz

tar -xzf KarmaGate-linux-x64.tar.gz
cd KarmaGate
./karmagate

5.3. Пакеты .deb / .rpm

Deb- и RPM-пакеты для Ubuntu/Debian и Fedora/RHEL доступны на странице загрузки.

5.4. Запись в меню приложений

[Desktop Entry]
Name=KarmaGate
Exec=/path/to/KarmaGate.AppImage
Type=Application
Categories=Development;Security;

Разместите файл в ~/.local/share/applications/.

6. Установка корневого сертификата

Установка CA обязательна для перехвата HTTPS. Без неё Gate не расшифрует зашифрованные соединения.
  1. Запустите KarmaGate → Settings → Certificate → «Export CA Certificate» → сохраните karmagate-ca.pem.
  2. Windows: certmgr.msc → «Доверенные корневые центры сертификации» → Импорт.
  3. macOS: Keychain Access → System → перетащите .pem → Trust → Always Trust.
  4. Linux:
    sudo cp karmagate-ca.pem /usr/local/share/ca-certificates/karmagate-ca.crt
    sudo update-ca-certificates
  5. Firefox: Settings → Privacy & Security → Certificates → Import (собственное хранилище).

7. Настройка прокси в браузере

Прокси KarmaGate по умолчанию: 127.0.0.1:8080

  • Chrome: системные настройки прокси или chrome.exe --proxy-server=127.0.0.1:8080
  • Firefox: Settings → Network → Manual proxy → HTTP 127.0.0.1:8080, «Also use for HTTPS»
  • Системный прокси: для перехвата трафика всех приложений
  • Browser-модуль: автоматическая настройка прокси без ручной конфигурации

8. Активация лицензии

8.1. Бесплатная версия

Без активации доступны: Gate, Loop, Snag, Strike (базовые возможности).

8.2. Pro/Team

Settings → License → Activate. Авторизация по OAuth 2.0 Device Flow:

  1. Приложение показывает device code и URL.
  2. Откройте URL в браузере, введите код, подтвердите.
  3. Лицензия активируется автоматически.

Лицензия привязана к device fingerprint. Grace-период без сети — до 1 часа.

9. Проверка работоспособности

  1. Запустите KarmaGate, убедитесь что прокси активен (индикатор в строке состояния).
  2. Настройте браузер на 127.0.0.1:8080.
  3. Откройте HTTPS-сайт.
  4. В Gate должен отображаться перехваченный трафик.

10. Удаление программы

  • Windows: Панель управления → Программы → Удалить KarmaGate.
  • macOS: удалите KarmaGate.app из Applications.
  • Linux: удалите AppImage или каталог распаковки.
  • Удалите CA-сертификат из системного хранилища.
  • Данные: Windows %APPDATA%\KarmaGate\, macOS ~/Library/Application Support/KarmaGate/, Linux ~/.config/KarmaGate/.

Руководство по эксплуатации программного обеспечения

Версия 1.0 · апрель 2026

1. Общие сведения

1.1. Назначение

KarmaGate — настольная платформа для анализа трафика, тестирования безопасности и автоматизации пентеста: от перехвата HTTP/HTTPS/WebSocket до сканирования уязвимостей и формирования отчётов.

1.2. Область применения

  • Penetration testing веб-приложений и API
  • Аудит информационной безопасности
  • Анализ сетевого трафика
  • Фаззинг и сканирование по CVE/CWE
  • Автоматизация сценариев тестирования
  • Обнаружение OAST-уязвимостей

1.3. Системные требования

macOS 12+, Windows 10/11, Linux (Ubuntu 20.04+, Fedora 36+); 4 ГБ ОЗУ (рекомендуется 8 ГБ); 500 МБ диска; 1280×720; сеть для удалённых целей.

2. Запуск и завершение программы

2.1. Запуск

Двойной щелчок по ярлыку или запуск исполняемого файла из терминала. При первом запуске генерируется CA для HTTPS-перехвата.

2.2. Главный экран

Боковая панель навигации и рабочая область. Основные вкладки:

  • Gate — MITM-прокси и перехват трафика
  • Loop — ручное тестирование (Repeater)
  • Strike — фаззинг
  • Probe — сканер уязвимостей (Pro)
  • Reap — агрегатор результатов (Pro)
  • Chain — визуальный конструктор рабочих процессов (Pro)
  • Echo — OAST (Pro)
  • Mobile — мобильный анализ

Встроенные модули:

  • Snag — перехватчик (режим Gate, строка состояния)
  • Browser — запуск Chrome/Chromium с прокси (строка состояния)
  • Terminal — нижняя панель или отдельная вкладка (Pro)
  • Project — переключатель проектов в верхней части панели
  • Bind — совместные сессии (кнопка навигации, Pro)
  • Gate Sitemap — вкладка в Gate (обход сайта)

2.3. Завершение

Закрытие окна, File → Exit или Cmd+Q / Alt+F4. Данные проекта сохраняются в SQLite; прокси и сканирования останавливаются.

3. Описание интерфейса

3.1. Боковая панель

Навигация между модулями; селектор проекта; подсказки при наведении; цветовая индикация активного модуля.

3.2. Рабочая область

Меняется по модулю: таблица трафика (Gate), редактор запросов (Loop), настройки фаззинга (Strike) и т.д. Поддержка разделения на панели.

3.3. Строка состояния

Статус прокси (порт), сеть, счётчик запросов, статус активных задач.

4. Работа с модулями

4.1. Gate

Запуск прокси — кнопка в Gate или горячие клавиши; порт по умолчанию 8080. Таблица трафика: хост, метод, путь, код, размер, MIME, время. Фильтры по хосту, методу, коду, MIME, текстовый поиск. Детали запроса/ответа: Raw, Pretty, Hex. WebSocket-фреймы. Send to Loop / Strike / Probe.

4.2. Snag

Включение перехвата в режиме Gate. Breakpoints по хосту, методу, URL (regex), направлению. JS-условия. Forward/Drop. Перехват WebSocket-фреймов.

4.3. Loop

Вкладки запросов; Send; переменная $resp; WebSocket-тестирование; интеграция с цепочками аутентификации.

4.4. Strike

Целевой URL с маркерами §. Режимы HTTP: Sniper, Pitchfork, Cluster Bomb, Battering Ram. WS/TCP: Pitchfork, Cluster Bomb, Battering Ram. Wordlists, фильтры по коду/размеру/словам. Мониторинг скорости (req/s).

4.5. Probe

Режимы DAST, Full, Templates. Авто- и ручные точки инъекции. Фильтры по тегам и severity. Результаты: CVSS, CWE, evidence, curl для воспроизведения.

4.6. Echo

Interactsh или KarmaEcho. Callback-URL для DNS, HTTP, LDAP, SMTP. Мониторинг взаимодействий в реальном времени.

4.7. Chain

Визуальный редактор DAG: узлы HTTP, WebSocket, TCP, Condition, Loop, Script (JavaScript/Goja) и др. Run — отображение активного узла и результатов шагов. Цепочки аутентификации подставляются в Loop и Strike.

4.8. Mobile

Android: AVD, ADB, Frida, scrcpy, перехват через Gate. iOS Simulator (macOS): устройства Xcode, Frida, проксирование. Установка CA на устройство.

4.9. Sitemap (Gate)

Обход сайта: начальный URL, глубина, исключения. Режимы Tree и Table. Send URL в Loop, Strike, Probe.

4.10. Reap

Единая таблица findings. Фильтры по severity, модулю, хосту. Статусы New, Confirmed, False Positive, Fixed. Evidence и шаги воспроизведения.

4.11. Terminal

PTY-сессии; автоимпорт Nuclei/SQLmap в Reap; сниппеты; запись сессий.

4.12. Browser

Launch — экземпляр Google Chrome или Chromium с прокси Gate. Несколько независимых экземпляров.

4.13. Bind

Совместные сессии через relay-сервер. Роли host/guest, чат, синхронизация данных, presence.

5. Управление проектами

  • Создание: селектор проектов → «Новый проект».
  • Переключение: загрузка трафика, сканирований и настроек выбранного проекта.
  • Изоляция: данные, конфигурации и переменные окружения разделены между проектами.
  • Переменные: глобальные, проектные и сессионные — используются в запросах, скриптах и workflows.

6. Настройки

6.1. Прокси

Порт (8080), bind-интерфейс, upstream proxy, таймауты, пул соединений.

6.2. Сертификаты

Просмотр CA, экспорт, регенерация, параметры генерации.

6.3. Лицензия

Статус, тип подписки, срок, активация.

6.4. Тема

Тёмная и светлая тема интерфейса.

Сведения о компании

Юридическое лицо

ООО «КАРМАГЕЙТ»
ОГРН: 1257700313320
ИНН: 9723256378
КПП: 772301001
Юридический адрес: г. Москва, ул. Велозаводская, д. 9, кв. 23
Дата регистрации: 15.07.2025

Контакты

Юридические вопросы: legal@karmagate.com

Skip to main content