Imperva CAPTCHA-Löser | CapMonster Cloud

Imperva Incapsula
und CapMonster Cloud

Captcha-Lösung, Installation auf der Website und Tests.

Preise für Imperva Incapsula-Lösung

CAPTCHA

Preis

Erfolgsmessung

Imperva (Incapsula)

99%

$ 2.00

1k Token

99%

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website Imperva Incapsula eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von Imperva Incapsula, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist Incapsula?

Imperva Incapsula Web Protection ist ein Cloud-basiertes System zum Schutz von Websites und Anwendungen vor externen Bedrohungen. Das System verwendet sichere Reverse-Proxys und eine Web Application Firewall (WAF), die weltweit auf CDN-Servern verteilt sind. Die Website wird über gesicherte Imperva-Server geleitet, was die Prüfung jeder Anfrage und das Filtern schädlicher Aktivitäten ermöglicht.

Wie man Incapsula mit CapMonster Cloud löst

Beim Testen von Seiten, die durch Imperva Incapsula geschützt sind, ist es oft notwendig sicherzustellen, dass der Schutz korrekt funktioniert und das System verdächtigen Datenverkehr richtig filtert.

Sie können die Funktion des Schutzes auf Ihrer Website manuell überprüfen:

Öffnen Sie die gewünschte Seite und vergewissern Sie sich, dass Incapsula eine Überprüfung verlangt.
Versuchen Sie, ohne die Überprüfung zuzugreifen — die Website sollte einen Fehler 405 oder eine zusätzliche Challenge zurückgeben.
Nach Bestehen der Überprüfung sollte der Zugriff ohne Fehler möglich sein.

Zur Automatisierung solcher Tests können Dienste wie CapMonster Cloud verwendet werden.

CapMonster akzeptiert die Parameter der Imperva-Challenge (z. B. das Cookie _incap_, Daten aus HTML und Skripten), verarbeitet sie und gibt fertige gültige Cookies zurück, die in den Browser oder HTTP-Client eingesetzt werden können.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt übergeben Sie Ihren API-Schlüssel, den Captcha-Typ und dessen Parameter. Der Dienst gibt eine eindeutige taskId zurück, mit der später das Ergebnis abgerufen werden kann.

API-Anfrage senden

In der Anfrage zum Lösen von Incapsula müssen folgende Parameter angegeben werden:

type - CustomTask;

class - Imperva;

websiteURL - Adresse der Hauptseite, auf der sich Incapsula befindet;

incapsulaScriptUrl (innerhalb von metadata) - "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3" — Name der js-Datei von Incapsula;

incapsulaCookies (innerhalb von metadata) - Ihre Cookies von Incapsula. Erhältlich auf der Seite mittels document.cookie oder im Header der Anfrage Set-Cookie: "incap_sess_*=...; visid_incap_*=..." (siehe Beispielanfrage /createTask);

reese84UrlEndpoint (innerhalb von metadata) -

Erkennung von Imperva Incapsula unter Verwendung fertiger Bibliotheken

Der Dienst CapMonster Cloud bietet fertige Bibliotheken für die komfortable Arbeit in den Sprachen Python und JavaScript (Node.js).

Python

JavaScript

Wie man Imperva Incapsula mit der eigenen Website verbindet

Um sich sicher in der Funktionsweise des Captchas auf Ihrer Website zurechtzufinden, die Logik der Prüfung zu verstehen, den Schutz neu zu verbinden oder umzukonfigurieren, empfehlen wir Ihnen, diesen Abschnitt zu studieren. Darin wird der Prozess der Aktivierung des Schutzes beschrieben — dies hilft Ihnen, schnell alle Nuancen zu verstehen.

1. Erstellen Sie ein Konto (verwenden Sie bei der Registrierung Ihre geschäftliche E-Mail-Adresse) und gehen Sie zur Imperva Cloud Security Console.

2. Bestätigen Sie die E-Mail. Nach der Anmeldung gelangen Sie zum Dashboard (mehr über die Arbeit mit der Security Console erfahren Sie in der Dokumentation).

3. Öffnen Sie den Bereich Websites und geben Sie die echte Domain Ihrer Website ein.

Wichtig: Verwenden Sie nicht localhost, 127.0.0.1, Domains wie .test und andere nicht existierende Adressen.

HowTo Connect image 1

Imperva wird automatisch:

Ihren DNS-Provider erkennen,
SSL prüfen,
einen Scan der DNS-Einträge starten.

4. Konfigurieren Sie die DNS-Einträge. Wenn Imperva den folgenden Schritt anzeigt:

Point dev.mysite.com DNS records to Imperva

Tun Sie Folgendes:

Gehen Sie in das DNS-Panel Ihres Registrars oder Hostings.
Erstellen oder aktualisieren Sie den Eintrag:


Typ: CNAME
Name: dev (Subdomain, die Sie verbinden)
Wert: <ihr_imperva_host>.ng.impervadns.net

Beispiel:

dev.mysite.com > CNAME > xivaxeo.ng.impervadns.net

Mögliche Fehler und Debugging

Ungültige Domain oder Regel — Challenge wird nicht angezeigt.

Überprüfen Sie, ob die Security Rule an die richtige Domain und den richtigen Pfad gebunden ist und dass keine Konflikte mit IncapRules oder ACL bestehen.

Zeitüberschreitung beim Laden der Seite oder bei der Prüfung.

Der Browser wartet möglicherweise nicht auf die Antwort von Imperva. Erhöhen Sie die Timeouts in den Tests und stellen Sie sicher, dass das Backend schnell genug antwortet.

Abgelaufene Imperva-Cookies.

Veraltete visid_incap, incap_ses, nlbi führen zu einer erneuten Challenge oder Blockierung.

Übermäßig empfindliche Regeln.

Strenge Signaturen können echte Besucher Ihrer Website blockieren.

Falsche Konfiguration.

Falsche Einstellungen oder Regeln, die die Besonderheiten der Website nicht berücksichtigen, verursachen fehlerhafte Blockierungen und Fehlalarme.

Tests der Schutzstabilität

Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.

Führen Sie eine Anfrage ohne Imperva-Cookies aus. Die WAF-Regel sollte greifen (z. B. Blockierung oder zusätzliche Prüfung gemäß Richtlinie).

Prüfen Sie den erneuten Zugriff mit gültigen Cookies. Der Benutzer sollte ohne erneute Prüfungen passieren, wenn die WAF diesen Datenverkehr zulässt.

Führen Sie Lasttests durch (k6/JMeter). Die WAF sollte ein hohes Anfragevolumen stabil verarbeiten und keine Fehler 500/503 ausgeben.

Überprüfen Sie das Verhalten mit abgelaufenen oder falschen Cookies. Das erwartete Ergebnis ist eine erneute Prüfung oder die Anwendung der konfigurierten WAF-Regel.

Tipps zu Sicherheit und Optimierung

Konfigurieren Sie WAF und Security Policies entsprechend dem Risikoniveau. Verwenden Sie Managed Rules, Bot Protection und benutzerdefinierte Regeln für eine genauere Kontrolle.

Konfigurieren Sie WAF und Security Policies entsprechend dem Risikoniveau. Verwenden Sie Managed Rules, Bot Protection und benutzerdefinierte Regeln für eine genauere Kontrolle.

Protokollieren Sie Sicherheitsereignisse und WAF-Auslösungen, um Fehlalarme zu erkennen und die Gründe für Blockierungen zu analysieren.

Protokollieren Sie Sicherheitsereignisse und WAF-Auslösungen, um Fehlalarme zu erkennen und die Gründe für Blockierungen zu analysieren.

Fügen Sie Links zur <span class="font-bold">Datenschutzerklärung</span> und den <span class="font-bold">Nutzungsbedingungen</span> hinzu. Dies ist wichtig für Transparenz und die Einhaltung von Sicherheitsanforderungen.

Fügen Sie Links zur Datenschutzerklärung und den Nutzungsbedingungen hinzu. Dies ist wichtig für Transparenz und die Einhaltung von Sicherheitsanforderungen.

Unterstützte Captchas

reCAPTCHA v2

reCAPTCHA v3

reCAPTCHA v2 Enterprise

reCAPTCHA v3 Enterprise

GeeTest

Cloudflare Turnstile

Cloudflare Bot Challenge

DataDome

Tencent CAPTCHA

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von Imperva Incapsula reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie Imperva Incapsula identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

Dokumentation zu Imperva Incapsula →

Dokumentation CapMonster Cloud (Arbeit mit Imperva Incapsula) →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

{
 "clientKey": "API_KEY",
 "task": {
   "type": "CustomTask",
   "class": "Imperva",
   "websiteURL": "https://example.com",
   "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36",
   "metadata": {
     "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3",
     "incapsulaCookies": "incap_ses_1166_2930313=br7iX33ZNCtf3HlpEXcuEDzz72cAAAAA0suDnBGrq/iA0J4oERYzjQ==; visid_incap_2930313=P3hgPVm9S8Oond1L0sXhZqfK72cAAAAAQUIPAAAAAABoMSY9xZ34RvRseJRiY6s+;",
     "reese84UrlEndpoint": "Built-with-the-For-hopence-Hurleysurfecting-the-"
   },
   "proxyType": "http",
   "proxyAddress": "8.8.8.8",
   "proxyPort": 8080,
   "proxyLogin": "proxyLoginHere",
   "proxyPassword": "proxyPasswordHere"
 }
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"domains": {
			"https://example.com": {
				"cookies": {
					"___utmvc": "NMB+nRa4inxXNeXuh...MWIwNmU3MQ==; Max-Age=31536000; Domain=.site.com; Path=/; Secure; SameSite=Lax"
				}
			}
		}
	}
}

Lösung, Abrufen von Parametern und Setzen von Cookies

Ein Beispiel in Node.js für den vollständigen Zyklus der Captcha-Erkennung auf Ihrer Webseite. Mögliche Ansätze: Verwendung von HTTP-Anfragen zum Abrufen von HTML und Parametern des Schutzsystems, Senden der Antwort und Verarbeiten des Ergebnisses. Oder mithilfe von Automatisierungstools (z. B. Playwright) — Seite öffnen, auf die Überprüfung warten, Parameter über den CapMonster Cloud-Client senden, Ergebnis erhalten, Cookies in den Browser einsetzen (zum Testen können Sie sowohl korrekte als auch inkorrekte Daten verwenden) und das Ergebnis sehen.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, ImpervaRequest } from '@zennolab_com/capmonstercloud-client';

async function main() {
    // 1) Einstellungen
    const TARGET_URL = "https://example.com";
    const API_KEY = "YOUR_CAPMONSTER_API_KEY";

    const proxy = {
        proxyType: "http",
        proxyAddress: "PROXY_IP",
        proxyPort: 8080,
        proxyLogin: "PROXY_USER",
        proxyPassword: "PROXY_PASS"
    };

    // 2) Wir öffnen die Website und sammeln Imperva-Cookies
    const browser = await chromium.launch({
        headless: true,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(TARGET_URL, { waitUntil: "networkidle" });

    const cookies = await page.context().cookies();
    const impervaCookiesString = cookies
        .filter(c => c.name.startsWith("visid_incap_") || c.name.startsWith("incap_ses_"))
        .map(c => `${c.name}=${c.value}`)
        .join("; ");

    console.log("Imperva-Cookies von der aktuellen Seite:", impervaCookiesString);

    await browser.close();

    // 3) Wir lösen die Imperva-Challenge
    const cmcClient = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const impervaRequest = new ImpervaRequest({
        websiteURL: TARGET_URL,
        userAgent: "USER_AGENT_STRING",
        metadata: {
            incapsulaScriptUrl: "_Incapsula_Resource?example_param",
            incapsulaCookies: impervaCookiesString
        },
        proxy
    });

    const result = await cmcClient.Solve(impervaRequest);
    console.log("Lösung:", result);

    // 4) Wir setzen die erhaltenen Cookies ein
    const domain = new URL(TARGET_URL).hostname;
    const solutionCookiesObj = result.solution.domains[domain].cookies;

    const solutionCookies = Object.entries(solutionCookiesObj).map(([name, value]) => ({
        name,
        value,
        domain: ".your-domain",
        path: "/",
        secure: true,
        httpOnly: false
    }));

    // 5) Setzen der Cookies und Öffnen der Seite
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const context2 = await browser2.newContext();
    await context2.addCookies(solutionCookies);

    const page2 = await context2.newPage();
    const resp2 = await page2.goto(TARGET_URL, { waitUntil: "networkidle" });

    // Ausgabe des Status der Zielseite (optional)
    // console.log("Status der Zielseite nach dem Setzen der Cookies:", resp2?.status());

    // …oder endgültiger Screenshot
    // await page2.screenshot({ path: "final_page.png" });

    console.log("Seite geladen mit angewendeten Imperva-Cookies.");
}

main().catch(console.error);

Es gibt auch eine hervorragende Möglichkeit, die Captcha-Erkennung mit der CapMonster Cloud Browser-Erweiterung zu testen, die es ermöglicht, die Captcha-Funktion direkt auf der Seite schnell zu überprüfen und den Lösungsprozess in Echtzeit zu verfolgen, ohne Code schreiben zu müssen – verfügbar für die Installation in Chrome und Firefox.


HTTP/1.1 403 Forbidden
Content-Type: text/html
Cache-Control: no-cache, no-store
Connection: close
Content-Length: 1234
X-Iinfo: 00-00000000-0 0NNN RT(1234567890 0) q(0 -1 -1 1) r(0 -1) B16(0,0,0) U24
Strict-Transport-Security: max-age=31536000
Set-Cookie: visid_incap_00000000000000000000000000000000=ABCDEFG1234567890TESTCOOKIE; expires=Wed, 11 Nov 2026 23:41:40 GMT; HttpOnly; path=/; Domain=.example.com; Secure; SameSite=None
Set-Cookie: incap_ses_0000_00000000=TESTSESSION1234567890; path=/; Domain=.example.com; Secure; SameSite=None

Imperva Incapsula und CapMonster Cloud

Preise für Imperva Incapsula-Lösung

Wie man Incapsula mit CapMonster Cloud löst

Unterstützte Captchas

Imperva Incapsula
und CapMonster Cloud