Всё для пентеста — в одном приложении.

Strike — мгновенный поиск уязвимостей

Высокоскоростной фаззинг: свыше 1000 запросов в секунду, 4 режима атаки, автокалибровка и интеллектуальная генерация пейлоадов.

Подробнее →

KarmaGate - Strike

HTTP Attack 1 ✕

Результаты

Attack 1 (247)

4,237/5,432 78%

1,247/s

#	Статус	Размер	Слова	Строки	Время	Нагрузка
1	200	4521	187	42	67ms	/api/v1/admin/users
2	200	3892	156	38	54ms	/api/v1/admin/config
3	403	127	8	3	12ms	/api/v1/admin/logs
4	200	8934	312	89	142ms	/api/v1/admin/export
5	200	2341	94	21	38ms	/api/v1/internal/debug
6	404	52	4	1	8ms	/api/v1/internal/metrics
7	301	0	0	0	11ms	/api/v1/graphql
8	200	15207	524	167	203ms	/api/v1/admin/backup
9	401	89	6	2	14ms	/api/v1/internal/health
10	200	1892	73	18	29ms	/api/v1/swagger.json
11	200	5612	201	54	87ms	/api/v1/admin/settings
12	403	127	8	3	10ms	/api/v1/admin/deploy
13	200	734	29	8	19ms	/api/v1/status
14	200	11045	410	128	178ms	/api/v1/admin/audit-log

KarmaGate - Probe

Scan api.example.com ✕

New Scan (1) (11)

12,000/12,000 Завершено

#	Критичность	Достоверность	Название	CWE	Шаблон
1	critical	подтверждено	CVE-2024-1234 — SQL Injection in /api/users	CWE-89	CVE-2024-1234
2	high	подтверждено	Stored XSS via file upload metadata	CWE-79	xss-stored-upload
3	high	вероятно	SSRF via webhook callback URL	CWE-918	ssrf-detect
4	medium	подтверждено	IDOR — access other users orders via /api/orders/{id}	CWE-639	idor-numeric
5	medium	вероятно	CORS allows arbitrary origins with credentials	CWE-942	cors-misconfig
6	medium	возможно	Open redirect via returnUrl parameter	CWE-601	open-redirect
7	low	подтверждено	Verbose error messages expose stack trace	CWE-209	error-disclosure
8	low	подтверждено	Server header discloses nginx/1.21.3	CWE-200	tech-detect
9	info	подтверждено	Missing Content-Security-Policy header	—	csp-missing
10	info	подтверждено	Missing Strict-Transport-Security header	—	hsts-missing
11	info	подтверждено	X-Powered-By header present: Express	—	tech-detect

Умное обнаружение уязвимостей

Сканер с поддержкой шаблонов Nuclei, автоматическим определением точек инъекции и встроенным OAST-сервером.

Подробнее →

Полный контроль над трафиком

Перехват и анализ HTTP- и WebSocket-трафика с полной поддержкой HTTP/2, расширенной фильтрацией и аннотациями.

Подробнее →

KarmaGate - Gate

Параметры фильтра: Скрыто типов: 2; Расш. скрыты

Фильтр

#▲	Хост	Метод	URL	Статус	Длина	MIME-тип	Состояние
1	vulnweb.karmagate.com	GET	/api/users?id=1	200	1247	JSON
2	vulnweb.karmagate.com	POST	/api/auth/login	200	892	JSON
3	vulnweb.karmagate.com	GET	/api/users?id=1' OR '1'='1	200	8934	JSON	⚠️
4	vulnweb.karmagate.com	GET	/api/admin/users	403	127	JSON
5	vulnweb.karmagate.com	PUT	/api/users/profile	200	456	JSON
6	vulnweb.karmagate.com	GET	/api/search?q=%3Cscript%3Ealert(1)	200	2341	HTML	⚠️
7	vulnweb.karmagate.com	POST	/api/orders	201	534	JSON
8	vulnweb.karmagate.com	GET	/api/users/me	200	1891	JSON
9	vulnweb.karmagate.com	DELETE	/api/sessions/current	204	0	JSON
10	vulnweb.karmagate.com	GET	/api/products?category=../../../etc/passwd	200	4712	HTML	⚠️
11	vulnweb.karmagate.com	PATCH	/api/users/1/role	200	312	JSON
12	vulnweb.karmagate.com	GET	/api/orders/1542	200	2105	JSON
13	vulnweb.karmagate.com	POST	/api/upload/avatar	200	178	JSON
14	vulnweb.karmagate.com	GET	/api/config/settings	200	3421	JSON

KarmaGate - Mobile

Показаны все; Расш. скрыты

#	Хост	Метод	URL	Статус	Длина
1	api.targetbank.com	POST	/api/v2/auth/login	200	1892
2	api.targetbank.com	GET	/api/v2/accounts	200	4521
3	api.targetbank.com	GET	/api/v2/transactions?limit=50	200	12840
4	cdn.targetbank.com	GET	/assets/logo.png	200	8934
5	api.targetbank.com	POST	/api/v2/transfer	200	312
6	analytics.targetbank.com	POST	/collect	204	0
7	api.targetbank.com	GET	/api/v2/cards	200	2105
8	api.targetbank.com	GET	/api/v2/profile	200	956
9	api.targetbank.com	PUT	/api/v2/settings/notifications	200	89
10	api.targetbank.com	GET	/api/v2/exchange-rates	200	1547
11	api.targetbank.com	POST	/api/v2/otp/verify	200	124
12	api.targetbank.com	GET	/api/v2/beneficiaries	200	3201
13	api.targetbank.com	POST	/api/v2/payments/schedule	201	445
14	api.targetbank.com	GET	/api/v2/notifications	200	1823
15	api.targetbank.com	GET	/api/v2/limits	200	412
16	api.targetbank.com	POST	/api/v2/biometric/verify	200	98
17	api.targetbank.com	GET	/api/v2/statements/2026-04	200	18420
18	cdn.targetbank.com	GET	/assets/icons/sprite.svg	200	5612

Phone

30 fps

TargetBank

$12,450.00

Coffee Shop

-$4.50

Salary Deposit

+$3,200

Cloud Storage

-$9.99

Wire Transfer

-$150.00

Freelance Pay

+$850.00

Обход активен

12 hooks · com.target.banking

Безопасность мобильных API — от устройства до бэкенда

Тестирование мобильных приложений без переключения инструментов. Перехват всего трафика, обход cert pinning и анализ мобильных API прямо внутри KarmaGate.

Подробнее →

Совместный пентест для команд безопасности

Синхронизированные сессии с живыми курсорами, зашифрованный голосовой чат и присутствие в реальном времени — команда работает над одной целью без конфликтов.

Подробнее →

KarmaGate - Bind

#	Метод	URL	Статус	Длина
1	GET	/api/users?id=1	200	1247
2	POST	/api/auth/login	200	892
3	GET	/api/users?id=1' OR '1'='1	200	8934
4	GET	/api/admin/users	403	127
5	PUT	/api/users/profile	200	456
6	GET	/api/search?q=%3Cscript%3E	200	2341
7	POST	/api/orders	201	534
8	GET	/api/users/me	200	1891
9	DELETE	/api/sessions/current	204	0
10	PATCH	/api/users/1/role	200	312
11	GET	/api/products?category=../etc/passwd	200	4712
12	POST	/api/upload/avatar	200	178
13	GET	/api/config/settings	200	3421
14	GET	/api/orders/1542	200	2105

Maria S.

Alex K.

Sync Mirror ▾

Alex K. ♛ (you)

in Gate/HTTP

Maria S.

in Strike/Results

Говорит

Ivan P.

in Gate/HTTP

Muted

Голос активен · 3 peers

Модули безопасности

Всё для профессионального тестирования веб-безопасности — в одном приложении.

Gate

Прокси и история трафика

Перехват и анализ HTTP- и WebSocket-трафика с полной поддержкой HTTP/2.

• Полная поддержка HTTP/2 для современных приложений
• Инспекция и история WebSocket-соединений
• Аннотации к запросам: заметки и цветовые метки
• Гибкая фильтрация для быстрого поиска

Подробнее →

Loop

Повтор запросов

Редактирование и повторная отправка запросов с поддержкой HTTP/1.1, HTTP/2 и HTTP/3.

• Поддержка HTTP/1.1, HTTP/2 и HTTP/3
• Работа с несколькими запросами во вкладках
• Быстрая отправка в Strike или Probe
• Полное редактирование запросов и ответов

Mobile

Интегрированный мобильный клиент

Запуск Android-приложений прямо внутри KarmaGate. Экран устройства отображается непосредственно в панели Gate — анализ трафика, установка APK и тестирование мобильных API без переключения между инструментами.

• Встроенный Android-эмулятор с экраном устройства прямо в Gate
• Перехват трафика в реальном времени через прозрачный прокси
• Автоматический обход закрепления сертификатов
• Установка APK перетаскиванием, интеграция с Gate, Loop и Strike

Подробнее →

Strike

Высокоскоростной фаззер

Фаззинг на скорости свыше 1000 запросов в секунду с интеллектуальным обнаружением аномалий.

• 4 режима атаки: Sniper, Battering Ram, Pitchfork, Cluster Bomb
• Автокалибровка для точного выявления аномалий
• Интеллектуальная генерация пейлоадов и встроенные словари
• Определение и обход ограничений скорости

Подробнее →

Probe

Сканер уязвимостей

Интеллектуальный сканер с поддержкой шаблонов Nuclei и автоматическим обнаружением точек инъекции.

• Совместимость с шаблонами Nuclei (12 000+)
• Автоматическое определение точек инъекции
• Встроенный OAST для выявления слепых уязвимостей
• Профили сканирования: быстрый, стандартный, глубокий

Подробнее →

Chain

Автоматизация процессов

Многошаговые сценарии атак с извлечением данных и условной логикой.

• Автоматизация многошаговых сценариев атак
• Автоматическое извлечение данных между шагами
• Поддержка HTTP и WebSocket
• Условная логика для сложных сценариев

Echo

OOB-тестирование

Встроенный OAST-сервер с поддержкой WebSocket для выявления слепых уязвимостей в реальном времени.

• Обратные вызовы по HTTP, HTTPS, DNS, SMTP и WebSocket
• Уведомления в реальном времени
• Интеграция со сканером Probe
• Генерация пользовательских пейлоадов

Reap

Управление находками

Централизованное управление уязвимостями с импортом из популярных инструментов.

• Импорт из Nuclei, SQLMap, Dalfox
• Фильтрация по критичности, статусу и источнику
• Повторная проверка одним кликом в Loop
• Экспорт результатов для отчётности

Terminal

Встроенный терминал

Терминал с командами kt.* и доступом к окружению KarmaGate.

• Запуск внешних инструментов напрямую
• Доступ к переменным окружения KarmaGate
• Сохранённые команды и история
• Запись сессий

Bind

Совместная работа и голосовая связь

Командная работа в реальном времени: присутствие, курсоры, синхронизация сессий и зашифрованный голосовой чат.

• Индикация присутствия и курсоры во всех модулях
• Голосовой чат с E2E-шифрованием, кодеком Opus и адаптивным буфером
• Синхронизация данных: снимки и инкрементные обновления для Gate, Loop и др.
• Открытый relay-сервер для размещения на своей инфраструктуре (KarmaGateRelay)

Подробнее →

Stream

Сырые TCP-потоки

Создание прямых TCP- и TLS-соединений из Loop для тестирования произвольных протоколов. Просмотр бинарного трафика в Gate в режимах Hex, Raw и Formatted.

• TCP-вкладки в Loop — подключение к любому хосту и отправка пакетов
• Вкладка Binary Streams в Gate для пассивного захвата трафика
• Режимы отображения Raw, Formatted и Hex для инспекции пакетов
• Поддержка TLS/SSL с прозрачным перехватом

Обновления

1.3.3 16 апреля 2026

Исправления ошибок и улучшения поиска в TCP-потоках

1.3.2 16 апреля 2026

Панель Decode в HTTP, дефолты Strike и исправление матчеров в фаззинге

1.3.1 15 апреля 2026

Улучшения в UI и исправление ошибок

Что нового в KarmaGate →

Попробуйте KarmaGate уже сегодня.

Скачать для macOS