Документация программного обеспечения
KarmaGate разработан и лицензирован ООО «КАРМАГЕЙТ». На данной странице размещена документация, содержащая описание функциональных характеристик программного обеспечения и информацию, необходимую для установки и эксплуатации программного обеспечения.
Описание функциональных характеристик программного обеспечения
Версия документа: 1.0 · апрель 2026
1. Общие сведения
1.1. Наименование программного обеспечения
KarmaGate
1.2. Назначение программного обеспечения
KarmaGate — десктопная платформа для комплексного анализа сетевого трафика, тестирования безопасности веб-приложений и автоматизации задач тестирования на проникновение (пентестинга). Программное обеспечение предназначено для специалистов по информационной безопасности, пентестеров, разработчиков и QA-инженеров, выполняющих задачи по выявлению уязвимостей, анализу HTTP/HTTPS/WebSocket-трафика, фаззингу параметров и автоматизации сценариев тестирования.
1.3. Область применения
- Тестирование на проникновение (penetration testing) веб-приложений и API
- Аудит информационной безопасности
- Анализ и мониторинг сетевого трафика
- Поиск и верификация уязвимостей (OWASP Top 10, CVE)
- Автоматизация рутинных задач тестирования безопасности
- Обучение специалистов по информационной безопасности
1.4. Класс программного обеспечения
Прикладное программное обеспечение общего назначения. Средство анализа и тестирования безопасности информационных систем.
1.5. Поддерживаемые платформы
- Microsoft Windows 10/11 (x86_64; также доступны сборки ARM64)
- macOS 12+ (Apple Silicon и Intel x86_64)
- Linux x86_64 (Ubuntu 20.04+, Fedora 36+; также доступны сборки ARM64)
2. Перечень функциональных модулей
Программное обеспечение KarmaGate состоит из функциональных модулей, каждый из которых решает определённый класс задач в рамках процесса тестирования безопасности. Некоторые модули (Snag, Browser, Terminal, Project) встроены в интерфейс и не представлены отдельной вкладкой навигации.
| № | Модуль | Назначение |
|---|---|---|
| 1 | Gate | MITM-прокси, анализ HTTP/HTTPS/WebSocket-трафика, карта сайта (Sitemap/Crawler) |
| 2 | Snag | Перехватчик запросов с модификацией на лету (режим Gate) |
| 3 | Loop | Ручное тестирование запросов (Repeater) с итерациями |
| 4 | Strike | Фаззинг параметров с множественными режимами атаки |
| 5 | Probe | Сканер уязвимостей на основе шаблонов Nuclei |
| 6 | Echo | Внеполосное тестирование (OAST) для обнаружения слепых уязвимостей |
| 7 | Chain | Автоматизация рабочих процессов (DAG, JavaScript-движок Goja, 33+ типов узлов) |
| 8 | Mobile | Анализ мобильных приложений Android и iOS Simulator (эмулятор, Frida, ADB) |
| 9 | Bind | Совместная работа в реальном времени через relay-сервер |
| 10 | Reap | Агрегатор результатов из всех модулей |
| 11 | Terminal | Встроенный терминал с интеграцией внешних инструментов |
| 12 | Browser | Управление Google Chrome или Chromium с проксированием через Gate |
| 13 | Project | Управление проектами и хранение данных тестирования |
3. Описание функциональных модулей
3.1. Gate — MITM-прокси
Модуль Gate реализует прозрачный MITM-прокси для перехвата, анализа и модификации сетевого трафика.
Ключевые функции:
- Перехват HTTP/1.1 и HTTP/2 с автоматическим согласованием протокола (ALPN)
- Расшифровка HTTPS (TLS 1.2+) с динамической генерацией сертификатов ECDSA P-256
- Двунаправленное проксирование WebSocket (ws/wss)
- Автоматическая декомпрессия тел ответов (gzip, brotli, deflate)
- Фильтрация по хостам, MIME-типам, кодам ответа
- Поддержка upstream proxy и SOCKS-прокси
- Кэширование сертификатов с TTL 12 часов
- Поддержка бинарных TCP-протоколов
- Обход и индексация сайта (Sitemap/Crawler)
3.2. Snag — перехватчик запросов
Интерактивный перехват HTTP-запросов, ответов и WebSocket-сообщений с модификацией перед отправкой. Активируется из модуля Gate.
- Точки останова (breakpoints) с JavaScript-условиями
- Модификация заголовков, тела запроса и параметров URL
- Модификация ответов и WebSocket-фреймов
- Отклонение (drop) нежелательных запросов
- История перехватов (до 100 записей на элемент)
3.3. Loop — ручное тестирование (Repeater)
- Многовкладочный интерфейс для параллельной работы с запросами
- Динамические выражения и переменная $resp для цепочек запросов
- Интеграция с цепочками аутентификации для автоматического входа
- Персистентные WebSocket-соединения
- Счётчик итераций для каждой вкладки
3.4. Strike — фаззинг
Высокопроизводительный фаззинг параметров веб-приложений на базе ffuf.
- Режимы HTTP-фаззинга: Sniper, Pitchfork, Cluster Bomb, Battering Ram
- WebSocket/TCP-фаззинг: Pitchfork, Cluster Bomb, Battering Ram (без Sniper)
- Словари, числовые диапазоны, brute force, JavaScript-выражения в payload
- Фильтрация по коду ответа, размеру, словам/строкам, регулярным выражениям
- Автокалибровка, матчеры, экстракторы, replay результатов
| Режим | Описание |
|---|---|
| Sniper | Последовательная подстановка каждой нагрузки в одну позицию (только HTTP) |
| Pitchfork | Параллельная подстановка из нескольких списков по индексу |
| Cluster Bomb | Полный перебор всех комбинаций из нескольких списков |
| Battering Ram | Одна нагрузка подставляется во все позиции одновременно |
3.5. Probe — сканер уязвимостей
- Режимы: DAST, Full (шаблоны + DAST), Templates-only
- Автообнаружение точек инъекции: URL, заголовки, cookies, тело (JSON/XML/form/raw)
- Классификация: SQLi, XSS, SSRF, LFI, CMDi, XXE, RCE, IDOR, SSTI, OAuth
- Уровни критичности: Critical, High, Medium, Low, Info
- Интеграция с Echo (OAST) и автоматическая отправка в Reap
- Метаданные: CVSS, CWE, доказательства, curl-команда для воспроизведения
3.6. Echo — OAST
- Провайдеры: Interactsh (ProjectDiscovery) и KarmaEcho
- Callback по протоколам: DNS, HTTP/HTTPS, FTP, LDAP, SMTP
- Мониторинг взаимодействий в реальном времени
- Отложенный опрос после завершения сканирования
3.7. Chain — автоматизация рабочих процессов
Визуальный конструктор рабочих процессов (DAG) с JavaScript-движком Goja. Поддерживает HTTP, WebSocket, TCP, условия, циклы, скрипты и более 33 типов узлов. Линейные цепочки аутентификации используются Loop и Gate для автоматического входа.
3.8. Mobile — анализ мобильных приложений
- Android: эмуляторы (AVD), физические устройства через ADB, Frida, scrcpy
- iOS Simulator на macOS: управление устройствами, Frida, проксирование через Gate
- Перехват трафика мобильных приложений через MITM-прокси Gate
- Установка CA-сертификата на устройство для HTTPS-перехвата
3.9. Bind — совместная работа
Совместные сессии нескольких пользователей в реальном времени через зашифрованное соединение с relay-сервером (WebSocket).
- Роли: host, guest (full/receive/observe)
- Presence tracking, встроенный чат
- Синхронизация данных тестирования между клиентами
3.10. Reap — агрегатор результатов
- Сбор уязвимостей из Probe, Terminal (Nuclei, SQLmap, Dalfox) и ручного ввода
- Статусы: New, Confirmed, False Positive, Fixed
- Фильтрация по источнику, критичности, хосту; полнотекстовый поиск
- Экспорт результатов для отчётов
3.11. Terminal — встроенный терминал
- Эмулятор на базе xterm.js (bash, zsh, PowerShell, cmd)
- Автоимпорт результатов Nuclei, SQLmap и др. в Reap
- Сниппеты, автодополнение, запись и воспроизведение сессий
3.12. Browser — автоматизация браузера
- Управление экземплярами Google Chrome или Chromium через go-rod
- Автообнаружение системного браузера или загрузка Chromium
- Автоматическая настройка прокси Gate для каждого экземпляра
3.13. Project — управление проектами
- Создание и переключение между проектами (.kgp)
- Изолированное хранение трафика, уязвимостей и конфигурации
- Переменные окружения на уровне проекта
- SQLite-хранилище с WAL и индексацией
4. Дополнительные возможности
4.1. Система лицензирования
- OAuth 2.0 Device Authorization Grant через Ory Hydra
- Управление лицензиями через Keygen CE
- Уровни: Free, Free Trial, Pro, Team
- Machine fingerprinting, signed entitlements (Ed25519)
- Оффлайн-режим с grace-периодом до 1 часа
4.2. Локализация
Английский и русский языки интерфейса (JSON i18n).
4.3. Хранение данных
SQLite (modernc.org/sqlite) с WAL; HTTP-сообщения, WebSocket-история, Loop, sitemap, конфигурация.
4.4. Безопасность
Динамические TLS-сертификаты ECDSA P-256; Ed25519 для лицензий; Free-версия: Gate, Loop, Snag, Strike.
5. Входные и выходные данные
| Тип (вход) | Описание | Модули |
|---|---|---|
| HTTP-трафик | Запросы и ответы через прокси | Gate, Snag, Loop |
| WebSocket | Сообщения text/binary | Gate, Snag, Loop, Strike |
| URL | Цели сканирования и обхода | Probe, Crawler, Strike |
| Словари | Wordlists для фаззинга | Strike |
| Шаблоны Nuclei | YAML-шаблоны уязвимостей | Probe |
| Конфигурации | JSON проектов и workflows | Project, Chain |
| Тип (выход) | Описание | Модули |
|---|---|---|
| Перехваченный трафик | HTTP/WebSocket в хранилище | Gate, Snag |
| Результаты фаззинга | Ресурсы, параметры, аномалии | Strike |
| Уязвимости | Findings с CVSS, CWE, evidence | Probe, Reap |
| OAST | Внеполосные callbacks | Echo |
| Карта сайта | Структура URL и ресурсов | Gate (Sitemap) |
| Логи терминала | Записи сессий | Terminal |
| Отчёты | Экспорт результатов | Reap |
6. Требования к техническим средствам
| Параметр | Значение |
|---|---|
| Процессор | x86_64 или ARM64, 2 ядра, 2.0 ГГц и выше |
| ОЗУ | 4 ГБ (рекомендуется 8 ГБ и более) |
| Диск | 500 МБ + данные проектов |
| ОС | Windows 10/11, macOS 12+, Linux (Ubuntu 20.04+, Fedora 36+) |
| Сеть | Ethernet или Wi-Fi, TCP/IP |
| Экран | 1280×720 и выше |
Дополнительно: веб-браузер для настройки прокси; Google Chrome/Chromium для Browser; bash/zsh/PowerShell для Terminal.
7. Условия эксплуатации
- Использование только в рамках авторизованного пентеста
- Сетевое подключение к тестируемым системам
- Работа на ПК или рабочей станции пользователя
- Активная лицензия для Pro-модулей (Free: Gate, Loop, Snag, Strike)
- Для Gate: настройка прокси в браузере/приложении и установка CA-сертификата
- Для Echo: доступ к OAST-провайдеру
Инструкция по установке программного обеспечения
Версия 1.0 · апрель 2026
1. Общие сведения
1.1. Наименование
KarmaGate.
1.2. Назначение
KarmaGate — desktop-платформа для анализа сетевого трафика, тестирования безопасности и автоматизации пентестов: перехват HTTP/HTTPS/WebSocket, фаззинг, сканирование уязвимостей, автоматизация рабочих процессов и интеграция с инструментами безопасности.
1.3. Целевая аудитория
- специалисты по информационной безопасности;
- пентестеры и аудиторы безопасности;
- разработчики программного обеспечения;
- инженеры по обеспечению качества (QA).
2. Системные требования
2.1. Минимальные и рекомендуемые требования
| Параметр | Минимальные | Рекомендуемые |
|---|---|---|
| Процессор | x86_64/ARM64, 2 ядра, 2 ГГц | 4 ядра, 3 ГГц и выше |
| ОЗУ | 4 ГБ | 8 ГБ и более |
| Диск | 500 МБ + данные проектов | 2 ГБ+ SSD |
| ОС | Windows 10, macOS 12, Ubuntu 20.04 | Windows 11, macOS 14+, Ubuntu 22.04+ |
| Сеть | Ethernet/Wi-Fi, TCP/IP | Ethernet 1 Гбит/с |
| Экран | 1280×720 | 1920×1080 и выше |
2.2. Программные требования
- веб-браузер (рекомендуется Google Chrome) для настройки прокси;
- Google Chrome или Chromium для модуля Browser;
- системная оболочка (bash, zsh или PowerShell) для модуля Terminal.
3. Установка на Windows
- Загрузка. Скачайте установщик с karmagate.ru/download (KarmaGate-Setup-x64.exe или ARM64-сборку).
- Запуск. Запустите установщик от имени администратора при необходимости; подтвердите UAC.
- Мастер установки. Примите лицензию, выберите каталог (по умолчанию
C:\Program Files\KarmaGate\), нажмите «Установить». - Завершение. Создаются ярлык на рабочем столе и запись в меню «Пуск».
- Первый запуск. Запустите KarmaGate из меню «Пуск» или с рабочего стола.
4. Установка на macOS
- Загрузка. Скачайте .dmg с karmagate.ru/download. Доступны ARM64 (Apple Silicon) и x86_64 (Intel).
- Монтирование. Откройте KarmaGate.dmg двойным щелчком.
- Установка. Перетащите KarmaGate.app в папку Applications.
- Первый запуск. Приложение подписано Apple Developer ID и нотаризовано; Gatekeeper не блокирует запуск.
5. Установка на Linux
5.1. AppImage
chmod +x KarmaGate.AppImage
./KarmaGate.AppImage 5.2. Архив tar.gz
tar -xzf KarmaGate-linux-x64.tar.gz
cd KarmaGate
./karmagate 5.3. Пакеты .deb / .rpm
Deb- и RPM-пакеты для Ubuntu/Debian и Fedora/RHEL доступны на странице загрузки.
5.4. Запись в меню приложений
[Desktop Entry]
Name=KarmaGate
Exec=/path/to/KarmaGate.AppImage
Type=Application
Categories=Development;Security; Разместите файл в ~/.local/share/applications/.
6. Установка корневого сертификата
- Запустите KarmaGate → Settings → Certificate → «Export CA Certificate» → сохраните
karmagate-ca.pem. - Windows:
certmgr.msc→ «Доверенные корневые центры сертификации» → Импорт. - macOS: Keychain Access → System → перетащите .pem → Trust → Always Trust.
- Linux:
sudo cp karmagate-ca.pem /usr/local/share/ca-certificates/karmagate-ca.crt sudo update-ca-certificates - Firefox: Settings → Privacy & Security → Certificates → Import (собственное хранилище).
7. Настройка прокси в браузере
Прокси KarmaGate по умолчанию: 127.0.0.1:8080
- Chrome: системные настройки прокси или
chrome.exe --proxy-server=127.0.0.1:8080 - Firefox: Settings → Network → Manual proxy → HTTP 127.0.0.1:8080, «Also use for HTTPS»
- Системный прокси: для перехвата трафика всех приложений
- Browser-модуль: автоматическая настройка прокси без ручной конфигурации
8. Активация лицензии
8.1. Бесплатная версия
Без активации доступны: Gate, Loop, Snag, Strike (базовые возможности).
8.2. Pro/Team
Settings → License → Activate. Авторизация по OAuth 2.0 Device Flow:
- Приложение показывает device code и URL.
- Откройте URL в браузере, введите код, подтвердите.
- Лицензия активируется автоматически.
Лицензия привязана к device fingerprint. Grace-период без сети — до 1 часа.
9. Проверка работоспособности
- Запустите KarmaGate, убедитесь что прокси активен (индикатор в строке состояния).
- Настройте браузер на 127.0.0.1:8080.
- Откройте HTTPS-сайт.
- В Gate должен отображаться перехваченный трафик.
10. Удаление программы
- Windows: Панель управления → Программы → Удалить KarmaGate.
- macOS: удалите KarmaGate.app из Applications.
- Linux: удалите AppImage или каталог распаковки.
- Удалите CA-сертификат из системного хранилища.
- Данные: Windows
%APPDATA%\KarmaGate\, macOS~/Library/Application Support/KarmaGate/, Linux~/.config/KarmaGate/.
Руководство по эксплуатации программного обеспечения
Версия 1.0 · апрель 2026
1. Общие сведения
1.1. Назначение
KarmaGate — настольная платформа для анализа трафика, тестирования безопасности и автоматизации пентеста: от перехвата HTTP/HTTPS/WebSocket до сканирования уязвимостей и формирования отчётов.
1.2. Область применения
- Penetration testing веб-приложений и API
- Аудит информационной безопасности
- Анализ сетевого трафика
- Фаззинг и сканирование по CVE/CWE
- Автоматизация сценариев тестирования
- Обнаружение OAST-уязвимостей
1.3. Системные требования
macOS 12+, Windows 10/11, Linux (Ubuntu 20.04+, Fedora 36+); 4 ГБ ОЗУ (рекомендуется 8 ГБ); 500 МБ диска; 1280×720; сеть для удалённых целей.
2. Запуск и завершение программы
2.1. Запуск
Двойной щелчок по ярлыку или запуск исполняемого файла из терминала. При первом запуске генерируется CA для HTTPS-перехвата.
2.2. Главный экран
Боковая панель навигации и рабочая область. Основные вкладки:
- Gate — MITM-прокси и перехват трафика
- Loop — ручное тестирование (Repeater)
- Strike — фаззинг
- Probe — сканер уязвимостей (Pro)
- Reap — агрегатор результатов (Pro)
- Chain — визуальный конструктор рабочих процессов (Pro)
- Echo — OAST (Pro)
- Mobile — мобильный анализ
Встроенные модули:
- Snag — перехватчик (режим Gate, строка состояния)
- Browser — запуск Chrome/Chromium с прокси (строка состояния)
- Terminal — нижняя панель или отдельная вкладка (Pro)
- Project — переключатель проектов в верхней части панели
- Bind — совместные сессии (кнопка навигации, Pro)
- Gate Sitemap — вкладка в Gate (обход сайта)
2.3. Завершение
Закрытие окна, File → Exit или Cmd+Q / Alt+F4. Данные проекта сохраняются в SQLite; прокси и сканирования останавливаются.
3. Описание интерфейса
3.1. Боковая панель
Навигация между модулями; селектор проекта; подсказки при наведении; цветовая индикация активного модуля.
3.2. Рабочая область
Меняется по модулю: таблица трафика (Gate), редактор запросов (Loop), настройки фаззинга (Strike) и т.д. Поддержка разделения на панели.
3.3. Строка состояния
Статус прокси (порт), сеть, счётчик запросов, статус активных задач.
4. Работа с модулями
4.1. Gate
Запуск прокси — кнопка в Gate или горячие клавиши; порт по умолчанию 8080. Таблица трафика: хост, метод, путь, код, размер, MIME, время. Фильтры по хосту, методу, коду, MIME, текстовый поиск. Детали запроса/ответа: Raw, Pretty, Hex. WebSocket-фреймы. Send to Loop / Strike / Probe.
4.2. Snag
Включение перехвата в режиме Gate. Breakpoints по хосту, методу, URL (regex), направлению. JS-условия. Forward/Drop. Перехват WebSocket-фреймов.
4.3. Loop
Вкладки запросов; Send; переменная $resp; WebSocket-тестирование; интеграция с цепочками аутентификации.
4.4. Strike
Целевой URL с маркерами §. Режимы HTTP: Sniper, Pitchfork, Cluster Bomb, Battering Ram. WS/TCP: Pitchfork, Cluster Bomb, Battering Ram. Wordlists, фильтры по коду/размеру/словам. Мониторинг скорости (req/s).
4.5. Probe
Режимы DAST, Full, Templates. Авто- и ручные точки инъекции. Фильтры по тегам и severity. Результаты: CVSS, CWE, evidence, curl для воспроизведения.
4.6. Echo
Interactsh или KarmaEcho. Callback-URL для DNS, HTTP, LDAP, SMTP. Мониторинг взаимодействий в реальном времени.
4.7. Chain
Визуальный редактор DAG: узлы HTTP, WebSocket, TCP, Condition, Loop, Script (JavaScript/Goja) и др. Run — отображение активного узла и результатов шагов. Цепочки аутентификации подставляются в Loop и Strike.
4.8. Mobile
Android: AVD, ADB, Frida, scrcpy, перехват через Gate. iOS Simulator (macOS): устройства Xcode, Frida, проксирование. Установка CA на устройство.
4.9. Sitemap (Gate)
Обход сайта: начальный URL, глубина, исключения. Режимы Tree и Table. Send URL в Loop, Strike, Probe.
4.10. Reap
Единая таблица findings. Фильтры по severity, модулю, хосту. Статусы New, Confirmed, False Positive, Fixed. Evidence и шаги воспроизведения.
4.11. Terminal
PTY-сессии; автоимпорт Nuclei/SQLmap в Reap; сниппеты; запись сессий.
4.12. Browser
Launch — экземпляр Google Chrome или Chromium с прокси Gate. Несколько независимых экземпляров.
4.13. Bind
Совместные сессии через relay-сервер. Роли host/guest, чат, синхронизация данных, presence.
5. Управление проектами
- Создание: селектор проектов → «Новый проект».
- Переключение: загрузка трафика, сканирований и настроек выбранного проекта.
- Изоляция: данные, конфигурации и переменные окружения разделены между проектами.
- Переменные: глобальные, проектные и сессионные — используются в запросах, скриптах и workflows.
6. Настройки
6.1. Прокси
Порт (8080), bind-интерфейс, upstream proxy, таймауты, пул соединений.
6.2. Сертификаты
Просмотр CA, экспорт, регенерация, параметры генерации.
6.3. Лицензия
Статус, тип подписки, срок, активация.
6.4. Тема
Тёмная и светлая тема интерфейса.
Сведения о компании
Юридическое лицо
ООО «КАРМАГЕЙТ»
ОГРН: 1257700313320
ИНН: 9723256378
КПП: 772301001
Юридический адрес: г. Москва, ул. Велозаводская, д. 9, кв. 23
Дата регистрации: 15.07.2025
Контакты
Юридические вопросы: legal@karmagate.com