Erweiterung für Browser

Für Unternehmen

Preise

Blog

Dokumentation

Deutsch

Imperva Incapsula
und CapMonster Cloud

Captcha-Lösung, Installation auf der Website und Tests.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website Imperva Incapsula eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von Imperva Incapsula, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist Incapsula?

Imperva Incapsula Web Protection ist ein Cloud-basiertes System zum Schutz von Websites und Anwendungen vor externen Bedrohungen. Das System verwendet sichere Reverse-Proxys und eine Web Application Firewall (WAF), die weltweit auf CDN-Servern verteilt sind. Die Website wird über gesicherte Imperva-Server geleitet, was die Prüfung jeder Anfrage und das Filtern schädlicher Aktivitäten ermöglicht.

Wie man Incapsula mit CapMonster Cloud löst

Beim Testen von Seiten, die durch Imperva Incapsula geschützt sind, ist es oft notwendig sicherzustellen, dass der Schutz korrekt funktioniert und das System verdächtigen Datenverkehr richtig filtert.

Sie können die Funktion des Schutzes auf Ihrer Website manuell überprüfen:

Öffnen Sie die gewünschte Seite und vergewissern Sie sich, dass Incapsula eine Überprüfung verlangt.
Versuchen Sie, ohne die Überprüfung zuzugreifen — die Website sollte einen Fehler 405 oder eine zusätzliche Challenge zurückgeben.
Nach Bestehen der Überprüfung sollte der Zugriff ohne Fehler möglich sein.

Zur Automatisierung solcher Tests können Dienste wie CapMonster Cloud verwendet werden.

CapMonster akzeptiert die Parameter der Imperva-Challenge (z. B. das Cookie _incap_, Daten aus HTML und Skripten), verarbeitet sie und gibt fertige gültige Cookies zurück, die in den Browser oder HTTP-Client eingesetzt werden können.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt übergeben Sie Ihren API-Schlüssel, den Captcha-Typ und dessen Parameter. Der Dienst gibt eine eindeutige taskId zurück, mit der später das Ergebnis abgerufen werden kann.

API-Anfrage senden

In der Anfrage zum Lösen von Incapsula müssen folgende Parameter angegeben werden:

type - CustomTask;

class - Imperva;

websiteURL - Adresse der Hauptseite, auf der sich Incapsula befindet;

incapsulaScriptUrl (innerhalb von metadata) - "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3" — Name der js-Datei von Incapsula;

incapsulaCookies (innerhalb von metadata) - Ihre Cookies von Incapsula. Erhältlich auf der Seite mittels document.cookie oder im Header der Anfrage Set-Cookie: "incap_sess_*=...; visid_incap_*=..." (siehe Beispielanfrage /createTask);

reese84UrlEndpoint (innerhalb von metadata) - Name des Endpunkts, an den der reese84-Fingerprint gesendet wird;

userAgent - User-Agent des Browsers. Übergeben Sie nur einen aktuellen UA vom Betriebssystem Windows;

Für diese Aufgabe ist auch die Verwendung Ihrer Proxys erforderlich:

proxyType :

http - gewöhnlicher HTTP/HTTPS-Proxy;
https - versuchen Sie diese Option, wenn „http“ nicht funktioniert (erforderlich für einige benutzerdefinierte Proxys);
socks4 - Proxy vom Typ SOCKS4;
socks5 - Proxy vom Typ SOCKS5;

proxyAddress - IP-Adresse des Proxys IPv4/IPv6;

proxyPort - Proxy-Port;

proxyLogin - Login des Proxy-Servers;

proxyPassword - Passwort des Proxy-Servers.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:

{
 "clientKey": "API_KEY",
 "task": {
   "type": "CustomTask",
   "class": "Imperva",
   "websiteURL": "https://example.com",
   "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36",
   "metadata": {
     "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3",
     "incapsulaCookies": "incap_ses_1166_2930313=br7iX33ZNCtf3HlpEXcuEDzz72cAAAAA0suDnBGrq/iA0J4oERYzjQ==; visid_incap_2930313=P3hgPVm9S8Oond1L0sXhZqfK72cAAAAAQUIPAAAAAABoMSY9xZ34RvRseJRiY6s+;",
     "reese84UrlEndpoint": "Built-with-the-For-hopence-Hurleysurfecting-the-"
   },
   "proxyType": "http",
   "proxyAddress": "8.8.8.8",
   "proxyPort": 8080,
   "proxyLogin": "proxyLoginHere",
   "proxyPassword": "proxyPasswordHere"
 }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"domains": {
			"https://example.com": {
				"cookies": {
					"___utmvc": "NMB+nRa4inxXNeXuh...MWIwNmU3MQ==; Max-Age=31536000; Domain=.site.com; Path=/; Secure; SameSite=Lax"
				}
			}
		}
	}
}

Einsetzen von Incapsula-Cookies auf der Seite

Die von CapMonster Cloud erhaltenen Daten (gültige Incapsula-Cookies) können in den Browser-Kontext oder einen HTTP-Client eingefügt werden. Danach erkennt die Website die Anfrage als geprüft an und lässt den Benutzer ohne zusätzliche Challenges passieren.

Für die Automatisierung und Tests ist es praktisch, Puppeteer, Selenium oder Playwright zu verwenden — diese ermöglichen:

die durch Incapsula geschützte Seite zu laden;
die erhaltenen Cookies in den Browser-Kontext einzufügen;
die Seite bereits mit einer gültigen Sitzung zu aktualisieren;
weitere Aktionen auszuführen (Formular senden, Links folgen usw.).

So kann die Korrektheit des Schutzes überprüft und sichergestellt werden, dass die Website gültige Incapsula-Sitzungen richtig verarbeitet.

Erkennung von Imperva Incapsula unter Verwendung fertiger Bibliotheken

Der Dienst CapMonster Cloud bietet fertige Bibliotheken für die komfortable Arbeit in den Sprachen Python und JavaScript (Node.js).

Python

JavaScript

Lösung, Abrufen von Parametern und Setzen von Cookies

Ein Beispiel in Node.js für den vollständigen Zyklus der Captcha-Erkennung auf Ihrer Webseite. Mögliche Ansätze: Verwendung von HTTP-Anfragen zum Abrufen von HTML und Parametern des Schutzsystems, Senden der Antwort und Verarbeiten des Ergebnisses. Oder mithilfe von Automatisierungstools (z. B. Playwright) — Seite öffnen, auf die Überprüfung warten, Parameter über den CapMonster Cloud-Client senden, Ergebnis erhalten, Cookies in den Browser einsetzen (zum Testen können Sie sowohl korrekte als auch inkorrekte Daten verwenden) und das Ergebnis sehen.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, ImpervaRequest } from '@zennolab_com/capmonstercloud-client';

async function main() {
    // 1) Einstellungen
    const TARGET_URL = "https://example.com";
    const API_KEY = "YOUR_CAPMONSTER_API_KEY";

    const proxy = {
        proxyType: "http",
        proxyAddress: "PROXY_IP",
        proxyPort: 8080,
        proxyLogin: "PROXY_USER",
        proxyPassword: "PROXY_PASS"
    };

    // 2) Wir öffnen die Website und sammeln Imperva-Cookies
    const browser = await chromium.launch({
        headless: true,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(TARGET_URL, { waitUntil: "networkidle" });

    const cookies = await page.context().cookies();
    const impervaCookiesString = cookies
        .filter(c => c.name.startsWith("visid_incap_") || c.name.startsWith("incap_ses_"))
        .map(c => `${c.name}=${c.value}`)
        .join("; ");

    console.log("Imperva-Cookies von der aktuellen Seite:", impervaCookiesString);

    await browser.close();

    // 3) Wir lösen die Imperva-Challenge
    const cmcClient = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const impervaRequest = new ImpervaRequest({
        websiteURL: TARGET_URL,
        userAgent: "USER_AGENT_STRING",
        metadata: {
            incapsulaScriptUrl: "_Incapsula_Resource?example_param",
            incapsulaCookies: impervaCookiesString
        },
        proxy
    });

    const result = await cmcClient.Solve(impervaRequest);
    console.log("Lösung:", result);

    // 4) Wir setzen die erhaltenen Cookies ein
    const domain = new URL(TARGET_URL).hostname;
    const solutionCookiesObj = result.solution.domains[domain].cookies;

    const solutionCookies = Object.entries(solutionCookiesObj).map(([name, value]) => ({
        name,
        value,
        domain: ".your-domain",
        path: "/",
        secure: true,
        httpOnly: false
    }));

    // 5) Setzen der Cookies und Öffnen der Seite
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const context2 = await browser2.newContext();
    await context2.addCookies(solutionCookies);

    const page2 = await context2.newPage();
    const resp2 = await page2.goto(TARGET_URL, { waitUntil: "networkidle" });

    // Ausgabe des Status der Zielseite (optional)
    // console.log("Status der Zielseite nach dem Setzen der Cookies:", resp2?.status());

    // …oder endgültiger Screenshot
    // await page2.screenshot({ path: "final_page.png" });

    console.log("Seite geladen mit angewendeten Imperva-Cookies.");
}

main().catch(console.error);

Es gibt auch eine hervorragende Möglichkeit, die Captcha-Erkennung mit der CapMonster Cloud Browser-Erweiterung zu testen, die es ermöglicht, die Captcha-Funktion direkt auf der Seite schnell zu überprüfen und den Lösungsprozess in Echtzeit zu verfolgen, ohne Code schreiben zu müssen – verfügbar für die Installation in Chrome und Firefox.

Wie man Imperva Incapsula mit der eigenen Website verbindet

Um sich sicher in der Funktionsweise des Captchas auf Ihrer Website zurechtzufinden, die Logik der Prüfung zu verstehen, den Schutz neu zu verbinden oder umzukonfigurieren, empfehlen wir Ihnen, diesen Abschnitt zu studieren. Darin wird der Prozess der Aktivierung des Schutzes beschrieben — dies hilft Ihnen, schnell alle Nuancen zu verstehen.

1. Erstellen Sie ein Konto (verwenden Sie bei der Registrierung Ihre geschäftliche E-Mail-Adresse) und gehen Sie zur Imperva Cloud Security Console.

2. Bestätigen Sie die E-Mail. Nach der Anmeldung gelangen Sie zum Dashboard (mehr über die Arbeit mit der Security Console erfahren Sie in der Dokumentation).

3. Öffnen Sie den Bereich Websites und geben Sie die echte Domain Ihrer Website ein.

Wichtig: Verwenden Sie nicht localhost, 127.0.0.1, Domains wie .test und andere nicht existierende Adressen.

HowTo Connect image 1

Imperva wird automatisch:

Ihren DNS-Provider erkennen,
SSL prüfen,
einen Scan der DNS-Einträge starten.

4. Konfigurieren Sie die DNS-Einträge. Wenn Imperva den folgenden Schritt anzeigt:

Point dev.mysite.com DNS records to Imperva

Tun Sie Folgendes:

Gehen Sie in das DNS-Panel Ihres Registrars oder Hostings.
Erstellen oder aktualisieren Sie den Eintrag:


Typ: CNAME
Name: dev (Subdomain, die Sie verbinden)
Wert: <ihr_imperva_host>.ng.impervadns.net

Beispiel:

dev.mysite.com > CNAME > xivaxeo.ng.impervadns.net

Wichtig: Verwenden Sie keine A/AAAA-Einträge — Imperva erfordert CNAME für Subdomains.

Optional: Aktivieren Sie die Unterstützung für Non-SNI-Clients

Wenn Imperva die Benachrichtigung anzeigt:

If you expect Non-SNI traffic…

Dies betrifft veraltete Clients und spezifische Integrationen. Wenn Ihre Website gewöhnlich ist, kann dieser Schritt übersprungen werden.

Falls erforderlich, aktivieren Sie:

CDN > Delivery > Support Non-SNI clients

5. Warten Sie auf die DNS-Verifizierung. Imperva aktiviert den Schutz und SSL.

Sobald DNS verbunden ist, wird Imperva automatisch:

das CDN bereitstellen,
die WAF (Web Application Firewall) aktivieren,
ein HTTPS-Zertifikat erstellen,
den Schutz vor DDoS und Bots einschalten.

6. Beschränken Sie den direkten Zugriff auf Ihren Server (empfohlen)

Damit der Datenverkehr nur über Imperva läuft, sollten Sie auf Ihrem Server:

den Zugriff nur von Imperva-IP-Adressen erlauben,
direkte Verbindungen verbieten (außer von eigenen IPs),

Ausführlichere Informationen finden Sie im Bereich Create Rules.

7. Überprüfen Sie die Funktion der Website. Nach der Aktivierung

öffnen Sie Ihre Subdomain/Domain im Browser,
oder verwenden Sie curl:

curl -I https://dev.mysite.com

In den Headern sollten Zeilen wie folgt erscheinen:


HTTP/1.1 403 Forbidden
Content-Type: text/html
Cache-Control: no-cache, no-store
Connection: close
Content-Length: 1234
X-Iinfo: 00-00000000-0 0NNN RT(1234567890 0) q(0 -1 -1 1) r(0 -1) B16(0,0,0) U24
Strict-Transport-Security: max-age=31536000
Set-Cookie: visid_incap_00000000000000000000000000000000=ABCDEFG1234567890TESTCOOKIE; expires=Wed, 11 Nov 2026 23:41:40 GMT; HttpOnly; path=/; Domain=.example.com; Secure; SameSite=None
Set-Cookie: incap_ses_0000_00000000=TESTSESSION1234567890; path=/; Domain=.example.com; Secure; SameSite=None

Das bedeutet, dass der Datenverkehr durch Imperva läuft.

Mögliche Fehler und Debugging

Ungültige Domain oder Regel — Challenge wird nicht angezeigt.

Überprüfen Sie, ob die Security Rule an die richtige Domain und den richtigen Pfad gebunden ist und dass keine Konflikte mit IncapRules oder ACL bestehen.

Zeitüberschreitung beim Laden der Seite oder bei der Prüfung.

Der Browser wartet möglicherweise nicht auf die Antwort von Imperva. Erhöhen Sie die Timeouts in den Tests und stellen Sie sicher, dass das Backend schnell genug antwortet.

Abgelaufene Imperva-Cookies.

Veraltete visid_incap, incap_ses, nlbi führen zu einer erneuten Challenge oder Blockierung.

Übermäßig empfindliche Regeln.

Strenge Signaturen können echte Besucher Ihrer Website blockieren.

Falsche Konfiguration.

Falsche Einstellungen oder Regeln, die die Besonderheiten der Website nicht berücksichtigen, verursachen fehlerhafte Blockierungen und Fehlalarme.

Tests der Schutzstabilität

Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.

Führen Sie eine Anfrage ohne Imperva-Cookies aus. Die WAF-Regel sollte greifen (z. B. Blockierung oder zusätzliche Prüfung gemäß Richtlinie).

Prüfen Sie den erneuten Zugriff mit gültigen Cookies. Der Benutzer sollte ohne erneute Prüfungen passieren, wenn die WAF diesen Datenverkehr zulässt.

Führen Sie Lasttests durch (k6/JMeter). Die WAF sollte ein hohes Anfragevolumen stabil verarbeiten und keine Fehler 500/503 ausgeben.

Überprüfen Sie das Verhalten mit abgelaufenen oder falschen Cookies. Das erwartete Ergebnis ist eine erneute Prüfung oder die Anwendung der konfigurierten WAF-Regel.

Tipps zu Sicherheit und Optimierung

Konfigurieren Sie WAF und Security Policies entsprechend dem Risikoniveau. Verwenden Sie Managed Rules, Bot Protection und benutzerdefinierte Regeln für eine genauere Kontrolle.

Konfigurieren Sie WAF und Security Policies entsprechend dem Risikoniveau. Verwenden Sie Managed Rules, Bot Protection und benutzerdefinierte Regeln für eine genauere Kontrolle.

Protokollieren Sie Sicherheitsereignisse und WAF-Auslösungen, um Fehlalarme zu erkennen und die Gründe für Blockierungen zu analysieren.

Protokollieren Sie Sicherheitsereignisse und WAF-Auslösungen, um Fehlalarme zu erkennen und die Gründe für Blockierungen zu analysieren.

Fügen Sie Links zur <b>Datenschutzerklärung</b> und den <b>Nutzungsbedingungen</b> hinzu. Dies ist wichtig für Transparenz und die Einhaltung von Sicherheitsanforderungen.

Fügen Sie Links zur Datenschutzerklärung und den Nutzungsbedingungen hinzu. Dies ist wichtig für Transparenz und die Einhaltung von Sicherheitsanforderungen.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von Imperva Incapsula reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie Imperva Incapsula identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

Dokumentation zu Imperva Incapsula →

Dokumentation CapMonster Cloud (Arbeit mit Imperva Incapsula) →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

Imperva Incapsula und CapMonster Cloud

Wie man Incapsula mit CapMonster Cloud löst

Imperva Incapsula
und CapMonster Cloud