Amazon AWS WAF
und CapMonster Cloud

Captcha-Lösung, Integration in die Website und Tests.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website Amazon AWS WAF eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von Amazon AWS WAF, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist AWS WAF von Amazon

AWS WAF (Amazon Web Services Web Application Firewall) ist eine Cloud-Web-Firewall von Amazon, die Websites, APIs und Webanwendungen vor Angriffen und schädlichem Traffic schützt. Vereinfacht gesagt handelt es sich um einen Filter, der vor Ihrer Website oder API steht und entscheidet, welcher Besucherverkehr durchgelassen und welcher blockiert wird.

Wenn auf der Website Challenge/CAPTCHA aktiviert ist, sieht der Besucher möglicherweise eine separate Seite zur Überprüfung. Er wird aufgefordert, eine Aufgabe zu erledigen, z. B. alle Bilder einer Kategorie auszuwählen, um zu bestätigen, dass er kein Bot ist.

So lösen Sie AWS WAF mit CapMonster Cloud

Beim Testen von Ressourcen, die durch AWS WAF geschützt sind, ist es wichtig sicherzustellen, dass der Schutz korrekt funktioniert und richtig integriert ist.

Sie können die Funktion des Schutzes manuell überprüfen:

Öffnen Sie die Seite mit dem Formular oder der Ressource und stellen Sie sicher, dass AWS WAF korrekt auf Anfragen reagiert.
Versuchen Sie Aktionen durchzuführen, die vom WAF eingeschränkt werden könnten (z. B. Massenanfragen, verdächtige Header) – der Server sollte solche Anfragen blockieren oder einen Fehler zurückgeben.

Nach erfolgreicher Überprüfung setzt AWS WAF Cookies, die bestätigen, dass der Benutzer oder Client die Überprüfung bestanden hat und vertrauenswürdiger Traffic zugelassen wird.

Zur automatischen Captcha-Erkennung können spezialisierte Dienste verwendet werden, wie z. B. CapMonster Cloud – ein Tool, das Captcha-Parameter akzeptiert, diese auf seinen Servern verarbeitet und fertige Cookies oder ein Token zurückgibt. Diese können in den Browser eingefügt werden, um die Überprüfung ohne Benutzerinteraktion zu bestehen.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt übermitteln Sie Ihren API-Schlüssel, den Captcha-Typ und dessen Parameter. Der Dienst gibt eine eindeutige taskId zurück, mit der später das Ergebnis abgerufen werden kann.

API-Anfrage senden

In der Anfrage zur Lösung von AWS WAF müssen folgende Parameter angegeben werden:

type - AmazonTask;

websiteURL - Adresse der Hauptseite, auf der das Captcha gelöst wird;

challengeScript - Link zur challenge.js;

Die folgenden Parameter werden aus window.gokuProps entnommen (alle sind vom Typ String):

websiteKey
context
iv

captchaScript - Link zur captcha.js (kann fehlen, wenn Sie nur eine Challenge haben);

cookieSolution - Standardmäßig false – als Antwort erhalten Sie "captcha_voucher" und "existing_token". Wenn Sie die Cookies "aws-waf-token" benötigen, geben Sie true an.;

userAgent - User-Agent des Browsers. Übergeben Sie nur einen aktuellen UA vom Betriebssystem Windows;

Für diese Aufgabe ist auch die Verwendung Ihrer Proxys erforderlich:

proxyType :

http - gewöhnlicher HTTP/HTTPS-Proxy;
https - versuchen Sie diese Option, wenn „http“ nicht funktioniert (erforderlich für einige benutzerdefinierte Proxys);
socks4 - Proxy vom Typ SOCKS4;
socks5 - Proxy vom Typ SOCKS5;

proxyAddress - IP-Adresse des Proxys IPv4/IPv6;

proxyPort - Proxy-Port;

proxyLogin - Login des Proxy-Servers;

proxyPassword - Passwort des Proxy-Servers.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "AmazonTask",
    "websiteURL": "https://example.com/index.html",
    "websiteKey": "h15hX7brbaRTR...Za1_1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36",
    "captchaScript": "https://234324vgvc23.yejk.captcha-sdk.awswaf.com/234324vgvc23/jsapi.js",
    "cookieSolution": true,
    "proxyType": "http",
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"cookies": {
			"aws-waf-token": "10115f5b-ebd8-45c7-851e-cfd4f6a82e3e:EAoAua1QezAhAAAA:dp7sp2rXIRcnJcmpWOC1vIu+yq/A3EbR6b6K7c67P49usNF1f1bt/Af5pNcZ7TKZlW+jIZ7QfNs8zjjqiu8C9XQq50Pmv2DxUlyFtfPZkGwk0d27Ocznk18/IOOa49Rydx+/XkGA7xoGLNaUelzNX34PlyXjoOtL0rzYBxMAQy0D1tn+Q5u97kJBjs5Mytqu9tXPIPCTSn4dfXv5llSkv9pxBEnnhwz6HEdmdJMdfur+YRW1MgCX7i3L2Y0/CNL8kd8CEhTMzwyoXekrzBM="
		},
		"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
	}
}

Einsetzen von aws-waf-token Cookies auf der Seite

Die von CapMonster Cloud erhaltenen Daten (gültige AWS WAF Cookies) können in den Browserkontext oder HTTP-Client eingefügt werden. Danach betrachtet die Website die Anfrage als geprüft und ermöglicht die weitere Arbeit ohne zusätzliche Überprüfungen oder Challenge-Seiten.

Für Automatisierung und Tests ist es praktisch, Puppeteer, Selenium oder Playwright zu verwenden – diese ermöglichen es:

die durch AWS WAF geschützte Seite zu öffnen;
die erhaltenen Cookies in den Browserkontext einzufügen;
die Seite bereits mit gültiger Überprüfung zu aktualisieren;
weitere Aktionen durchzuführen (Formulare senden, Seiten wechseln, Funktionalität testen).

So kann die korrekte Funktion des Schutzes überprüft und sichergestellt werden, dass die Website gültige AWS WAF Cookies richtig akzeptiert und verarbeitet.

Erkennung von Amazon AWS WAF mit fertigen Bibliotheken

Der Dienst CapMonster Cloud bietet fertige Bibliotheken für die bequeme Arbeit in den Sprachen Python, JavaScript (Node.js) und C#.

Wichtig: Diese Codebeispiele verwenden cookieSolution=False. Wenn Sie als Ergebnis Cookies erhalten müssen, setzen Sie cookieSolution=True.

Python

JavaScript

Lösung, Abrufen von Parametern und Setzen von Cookies

Beispiel in Node.js für den vollständigen Zyklus der Captcha-Erkennung auf Ihrer Webseite. Mögliche Ansätze: Verwendung von HTTP-Anfragen zum Abrufen von HTML und Schutzsystemparametern, Senden der Antwort und Verarbeiten des Ergebnisses. Oder mithilfe von Automatisierungstools (z. B. Playwright) – Seite öffnen, auf die Überprüfung warten, Parameter über den CapMonster Cloud-Client senden, Ergebnis erhalten, Cookies in den Browser einfügen (für Tests können Sie sowohl korrekte als auch inkorrekte Daten verwenden) und das Ergebnis sehen.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, AmazonRequest } from "@zennolab_com/capmonstercloud-client";

const API_KEY = "YOUR_API_KEY";
const CAPTCHA_URL = "https://example.com";

// Proxy-Einstellungen
const PROXY = {
    proxyType: "http",
    proxyAddress: "PROXY_HOST",
    proxyPort: 1234,
    proxyLogin: "PROXY_USER",
    proxyPassword: "PROXY_PASS"
};

(async () => {
    // 1) Seite über Proxy öffnen und AWS WAF Parameter sammeln
    const browser = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    // Warten auf das Laden der Challenge- und Captcha-Skripte
    await page.waitForFunction(() => {
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return scripts.some(src => src.includes("challenge")) && scripts.some(src => src.includes("captcha"));
    });

    // AWS WAF Parameter extrahieren (Key, Context, IV, Links zu Skripten)
    const params = await page.evaluate(() => {
        const gokuProps = window.gokuProps || {};
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return {
            websiteKey: gokuProps.key || null,
            context: gokuProps.context || null,
            iv: gokuProps.iv || null,
            challengeScript: scripts.find(src => src.includes("challenge")),
            captchaScript: scripts.find(src => src.includes("captcha"))
        };
    });

    await browser.close();

    // 2) AWS WAF über CapMonster Cloud lösen
    const client = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: API_KEY }));

    const req = new AmazonRequest({
        websiteURL: CAPTCHA_URL,
        websiteKey: params.websiteKey,
        challengeScript: params.challengeScript,
        captchaScript: params.captchaScript,
        context: params.context,
        iv: params.iv,
        cookieSolution: true,
        proxy: PROXY
    });

    const solved = await client.Solve(req);
    const wafToken = solved.solution.cookies["aws-waf-token"];

    // 3) aws-waf-token einsetzen und alte bereinigen
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const context2 = await browser2.newContext();

    // Bereinigung alter aws-waf-token für Ihre Domain
    const existingCookies = await context2.cookies();
    const filteredCookies = existingCookies.filter(c => !(c.name === "aws-waf-token" && c.domain.endsWith(".your-domain")));
    await context2.clearCookies();
    await context2.addCookies(filteredCookies);

    // Setzen des neuen aws-waf-token
    await context2.addCookies([{
        name: "aws-waf-token",
        value: wafToken,
        domain: ".your-domain",
        path: "/",
        httpOnly: false,
        secure: true
    }]);

    const page2 = await context2.newPage();
    const response = await page2.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    console.log("Final page status:", response.status());
    console.log("Final page URL:", page2.url());

    await browser2.close();
})();

Es gibt auch eine hervorragende Möglichkeit, die Captcha-Erkennung mit der Browser-Erweiterung CapMonster Cloud zu testen, die es ermöglicht, die Captcha-Funktion direkt auf der Seite schnell zu überprüfen und den Lösungsprozess in Echtzeit zu verfolgen, ohne Code zu schreiben – verfügbar für Chrome und Firefox.

So verbinden Sie AWS WAF mit Ihrer Website

Um sich sicher in der Funktionsweise des Captchas auf Ihrer Website zurechtzufinden, die Logik seiner Überprüfung zu verstehen, es neu zu verbinden oder neu zu konfigurieren, empfehlen wir Ihnen, diesen Abschnitt zu studieren. Darin wird der Prozess der Anbindung des Schutzes beschrieben — dies hilft Ihnen, sich schnell mit allen Nuancen vertraut zu machen.

AWS WAF kann nicht direkt auf einer Website installiert werden. Es funktioniert nur über AWS-Ressourcen:

Amazon CloudFront (Haupt- und beste Option) — ein CDN, über das jede Website geschützt werden kann. Funktioniert schnell, global und ist für fast alle Fälle geeignet.
Application Load Balancer (ALB) — wird für serverseitige Websites, APIs und Container innerhalb von AWS verwendet. Wenn Ihr Backend in EC2, ECS, EKS läuft — setzen Sie WAF auf den ALB.
API Gateway — Schutz von REST und WebSocket APIs. Geeignet für SPA, mobile Anwendungen und Microservices.
AWS AppSync (GraphQL API)
Amazon Cognito (Login/Registrierung)
AWS App Runner (Container-Anwendungen)
AWS Amplify Hosting (Frontend-Hosting)
AWS Verified Access (Zugriff auf interne Anwendungen)

Schritt 1. Erstellen Sie ein AWS-Konto (falls nicht vorhanden)

Gehen Sie zu: https://portal.aws.amazon.com/billing/signup. Erstellen Sie ein Konto > bestätigen Sie E-Mail und Telefon.

Wichtig: Aktivieren Sie nach der Erstellung MFA für den Root-User und erstellen Sie einen Admin-Benutzer über IAM Identity Center.

Schritt 2. Sie können die Standard- oder die neue AWS WAF-Benutzeroberfläche verwenden:

Gehen Sie zur AWS Konsole
Öffnen Sie AWS WAF. Klicken Sie im linken Menü auf Try the new experience (falls angeboten).

Schritt 3. Erstellen Sie ein Protection Pack (Web ACL)

Dies ist der Satz von Schutzregeln für Ihre Ressource.

Wählen Sie im Menü links: Resources & protection packs (Web ACLs)
Klicken Sie auf Add protection pack (web ACL).

Schritt 4. Konfigurieren Sie die Anwendungskategorie:

Im Block Tell us about your app:

App category — wählen Sie Web / API / Both
Traffic source — woher der Traffic kommt (Web, API oder beides)

Diese Parameter sind notwendig, damit AWS optimale Regeln vorschlagen kann.

Schritt 5. Wählen Sie die Ressourcen aus, die geschützt werden sollen

Klicken Sie auf Add resources
Wählen Sie aus, was Sie verbinden:

Wenn Ihre Website auf CloudFront läuft > wählen Sie CloudFront distributions
Wenn Ihr Backend auf ALB läuft > wählen Sie Regional resources
Wenn API > wählen Sie API Gateway REST API
Setzen Sie ein Häkchen bei der gewünschten Ressource > klicken Sie auf Add.

Schritt 6. Wählen Sie einen Start-Regelsatz.

AWS schlägt vor:

Recommended for you — die beste Option für Anfänger

Er beinhaltet:

Basisschutz
Regeln gegen SQLi und XSS
IP Reputation Lists
Bot Control (optional)
Regeln für Web/API

Klicken Sie auf Next.

Schritt 7. Konfiguration (optional)

Auf dem Bildschirm Customize protection pack (web ACL):

Hauptparameter:

Default action:
- Allow all except blocked — wird normalerweise gewählt
- Block all except allowed — wenn die Website geschlossen ist
Default rate limits: Begrenzung der Anzahl von Anfragen (DDoS L7 Mitigation)
IP addresses: Whitelists/Blacklists
Country specific origins: Traffic-Begrenzung nach Ländern

Logging

Wählen Sie, wohin Logs geschrieben werden sollen:

CloudWatch
S3
Firehose

(empfohlen wird S3 + Athena).

Schritt 8. Web ACL erstellen

Klicken Sie auf: Add protection pack (web ACL)

AWS erstellt Regeln und verknüpft sie mit Ihrer Ressource.

Überprüfung

Um sicherzustellen, dass der Schutz funktioniert:

Öffnen Sie WAF > wählen Sie Ihre Web ACL
Gehen Sie zu Monitoring
Sehen Sie sich an:
- Traffic-Grafiken
- blockierte Anfragen
- Beispielanfragen (sample requests)

Zusätzlich (optional)

CAPTCHA oder Challenge aktivieren
In jeder Regel > Action > CAPTCHA / Challenge
Dies reduziert Bot-Traffic und schützt Anmelde- und Formularseiten.
Managed Rule Groups hinzufügen
Im Bereich Rule groups können Sie hinzufügen:
- AWS Managed
- Bot Control
- Account takeover prevention
- Marketplace rules (F5, Imperva, Fortinet)
Mit Shield Advanced verknüpfen. Zum Schutz vor DDoS (L3–L7).

Mögliche Fehler und Debugging

Ungültige Domain oder Regel — Challenge wird nicht angezeigt

Überprüfen Sie, ob die AWS WAF WebACL an die richtige Domain (CloudFront Distribution / ALB / API Gateway) und den korrekten Pfad gebunden ist und dass keine Konflikte zwischen Regeln bestehen.

Zeitüberschreitung beim Laden der Seite oder bei der Überprüfung

Manchmal wartet der Browser oder das Skript nicht auf die Antwort von AWS WAF. Erhöhen Sie die Timeouts in den Tests und stellen Sie sicher, dass das Backend Anfragen ohne Verzögerung verarbeitet.

Abgelaufene AWS WAF Cookies

Veraltete _aws_waf_token_… oder damit verbundene Cookie-Tags führen zu einer erneuten Challenge oder vorübergehenden Blockierung.

Übermäßig empfindliche Regeln

Zu strenge Bot Control-Signaturen, CAPTCHA-Regeln oder Rate-based-Regeln können echte Benutzer blockieren.

Falsche WebACL-Konfiguration

Fehler in der Reihenfolge der Regeln, Prioritäten oder Bedingungen können zu Fehlalarmen und Blockierungen führen.

Tests der Schutzstabilität

Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.

Führen Sie eine Anfrage ohne AWS WAF Cookies aus. Je nach Konfiguration sollte die entsprechende Regel greifen.

Überprüfen Sie den erneuten Zugriff mit gültigen Cookies. Der Benutzer sollte ohne erneute Überprüfungen durchkommen, wenn die WAF-Richtlinie den Traffic zulässt und die Tags korrekt sind.

Führen Sie Lasttests durch (k6/JMeter). Die WebACL sollte eine große Anzahl von Anfragen stabil verarbeiten, ohne Fehler 500/503 seitens der geschützten Ressource.

Überprüfen Sie das Verhalten bei abgelaufenen oder inkorrekten Cookies. Erwartung — erneute Challenge oder Anwendung der konfigurierten Block/Challenge-Regel.

Tipps zu Sicherheit und Optimierung

Konfigurieren Sie die WebACL entsprechend dem Risikolevel. Verwenden Sie Managed Rules (AWS, AWS Marketplace), AWS Bot Control und benutzerdefinierte Regeln basierend auf IP-Reputation, Headern, Rate Limiting und anderen Bedingungen.

Konfigurieren Sie die WebACL entsprechend dem Risikolevel. Verwenden Sie Managed Rules (AWS, AWS Marketplace), AWS Bot Control und benutzerdefinierte Regeln basierend auf IP-Reputation, Headern, Rate Limiting und anderen Bedingungen.

Loggen Sie WAF-Ereignisse. Aktivieren Sie <a href="https://docs.aws.amazon.com/waf/latest/developerguide/logging.html" target="_blank">AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs)</a> zur Analyse von Fehlalarmen und zur Optimierung von Regeln.

Loggen Sie WAF-Ereignisse. Aktivieren Sie AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs) zur Analyse von Fehlalarmen und zur Optimierung von Regeln.

Fügen Sie Links zur <b>Datenschutzerklärung</b> und den <b>Nutzungsbedingungen</b> hinzu. Dies ist wichtig für Transparenz und die Einhaltung von Sicherheitsanforderungen und Benutzererwartungen.

Fügen Sie Links zur Datenschutzerklärung und den Nutzungsbedingungen hinzu. Dies ist wichtig für Transparenz und die Einhaltung von Sicherheitsanforderungen und Benutzererwartungen.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von Amazon AWS WAF reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie Amazon AWS WAF identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

AWS WAF Dokumentation →

CapMonster Cloud Dokumentation (Arbeit mit AWS WAF) →

Übersicht über den Schutz von Webressourcen mit AWS WAF →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

Amazon AWS WAF und CapMonster Cloud

So lösen Sie AWS WAF mit CapMonster Cloud

Zusätzlich (optional)

Amazon AWS WAF
und CapMonster Cloud