Estensione per browser

Per le aziende

Prezzi

Blog

Documentazione

Italiano

Amazon AWS WAF
e CapMonster Cloud

Risoluzione captcha, installazione sul sito e test.

Hai ereditato un sito con una captcha o un'altra protezione ma senza accesso al codice sorgente? È normale chiedersi quale soluzione sia installata, se sia configurata correttamente e come testarla.

In questo articolo abbiamo cercato di rispondere a tutte le domande principali. Il primo passo per risolvere il problema è capire quale sistema di protezione viene utilizzato. A questo scopo puoi consultare l’elenco dei captcha e dei sistemi di protezione antibot più diffusi, dove trovi esempi visivi e caratteristiche chiave che ti aiutano a identificare rapidamente con cosa hai a che fare.

Se scopri che sul tuo sito viene utilizzato Amazon AWS WAF, il passo successivo è analizzarne più nel dettaglio le proprietà e il funzionamento. In questo stesso articolo puoi anche studiare la guida all’integrazione di Amazon AWS WAF, per comprendere a fondo come opera sul tuo sito. Questo ti permetterà non solo di capire la protezione attuale, ma anche di pianificarne correttamente la manutenzione.

Cos'è AWS WAF di Amazon

AWS WAF (Amazon Web Services Web Application Firewall) è un firewall per applicazioni web basato su cloud di Amazon, che protegge siti, API e applicazioni web da attacchi e traffico dannoso. In parole povere, è un filtro che si posiziona davanti al tuo sito o API e decide quale traffico di visitatori lasciar passare e quale bloccare.

Se sul sito è abilitato il Challenge/CAPTCHA, il visitatore potrebbe vedere una pagina di verifica separata. Gli verrà chiesto di completare un compito, ad esempio selezionare tutte le immagini di una categoria, per confermare di non essere un bot.

Come risolvere AWS WAF tramite CapMonster Cloud

Quando si testano risorse protette da AWS WAF, è importante assicurarsi che la protezione funzioni correttamente e sia integrata nel modo giusto.

Puoi verificare manualmente il funzionamento della protezione:

Apri la pagina con il modulo o la risorsa e assicurati che AWS WAF reagisca correttamente alle richieste.
Prova a eseguire azioni che potrebbero essere limitate dal WAF (ad esempio, richieste di massa, intestazioni sospette): il server dovrebbe bloccare tali richieste o restituire un errore.

Dopo aver superato con successo la verifica, AWS WAF imposta dei cookie che confermano che l'utente o il client ha superato il controllo e che il traffico fidato è consentito.

Per il riconoscimento automatico dei captcha è possibile utilizzare servizi specializzati, ad esempio CapMonster Cloud, uno strumento che accetta i parametri del captcha, li elabora sui propri server e restituisce cookie o token pronti. Questi possono essere inseriti nel browser per superare la verifica senza la partecipazione dell'utente.

Lavorare con CapMonster Cloud via API di solito prevede i seguenti passaggi:

Creazione della task

In questa fase, trasmetti la tua chiave API, il tipo di captcha e i suoi parametri. Il servizio restituisce un taskId univoco, con il quale successivamente è possibile ottenere il risultato.

Invio della richiesta API

Nella richiesta per risolvere AWS WAF è necessario indicare i seguenti parametri:

type - AmazonTask;

websiteURL - indirizzo della pagina principale in cui viene risolto il captcha;

challengeScript - link a challenge.js;

I seguenti parametri sono presi da window.gokuProps (tutti sono di tipo stringa):

websiteKey
context
iv

captchaScript - link a captcha.js (può essere assente se hai solo un Challenge);

cookieSolution - di default false — nella risposta riceverai "captcha_voucher" ed "existing_token". Se hai bisogno dei cookie "aws-waf-token", indica true.;

userAgent - User-Agent del browser. Invia solo uno UA attuale del sistema operativo Windows;

Anche per questo compito è necessario l'uso dei tuoi proxy:

proxyType :

http - proxy HTTP/HTTPS normale;
https - prova questa opzione se «http» non funziona (richiesto per alcuni proxy personalizzati);
socks4 - proxy di tipo SOCKS4;
socks5 - proxy di tipo SOCKS5;

proxyAddress - Indirizzo IP del proxy IPv4/IPv6;

proxyPort - porta del proxy;

proxyLogin - login del server proxy;

proxyPassword - password del server proxy.

Ulteriori dettagli sui parametri e su come recuperarli automaticamente prima di inviare una richiesta sono disponibili nella documentazione di CapMonster Cloud.

Endpoint per inviare la task:

https://api.capmonster.cloud/createTask

Esempio di richiesta:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "AmazonTask",
    "websiteURL": "https://example.com/index.html",
    "websiteKey": "h15hX7brbaRTR...Za1_1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
    "captchaScript": "https://234324vgvc23.yejk.captcha-sdk.awswaf.com/234324vgvc23/jsapi.js",
    "cookieSolution": true,
    "proxyType": "http",
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Risposta:

{
  "errorId":0,
  "taskId":407533072
}

Ricezione del risultato

Dopo aver creato la task, verifica periodicamente lo stato della soluzione.

Indirizzo per ricevere il risultato:

https://api.capmonster.cloud/getTaskResult

Esempio di richiesta:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Risposta:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"cookies": {
			"aws-waf-token": "10115f5b-ebd8-45c7-851e-cfd4f6a82e3e:EAoAua1QezAhAAAA:dp7sp2rXIRcnJcmpWOC1vIu+yq/A3EbR6b6K7c67P49usNF1f1bt/Af5pNcZ7TKZlW+jIZ7QfNs8zjjqiu8C9XQq50Pmv2DxUlyFtfPZkGwk0d27Ocznk18/IOOa49Rydx+/XkGA7xoGLNaUelzNX34PlyXjoOtL0rzYBxMAQy0D1tn+Q5u97kJBjs5Mytqu9tXPIPCTSn4dfXv5llSkv9pxBEnnhwz6HEdmdJMdfur+YRW1MgCX7i3L2Y0/CNL8kd8CEhTMzwyoXekrzBM="
		},
		"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36"
	}
}

Sostituzione dei cookie aws-waf-token sulla pagina

I dati ricevuti da CapMonster Cloud (cookie AWS WAF validi) possono essere inseriti nel contesto del browser o nel client HTTP. Dopodiché, il sito percepisce la richiesta come verificata e consente di continuare a lavorare senza ulteriori controlli o pagine di challenge.

Per l'automazione e i test è comodo usare Puppeteer, Selenium o Playwright, in quanto permettono di:

aprire la pagina protetta da AWS WAF;
aggiungere i cookie ricevuti al contesto del browser;
aggiornare la pagina già con la verifica valida;
eseguire azioni successive (inviare moduli, navigare tra le pagine, testare le funzionalità).

In questo modo è possibile verificare la correttezza del funzionamento della protezione e assicurarsi che il sito accetti ed elabori correttamente i cookie AWS WAF validi.

Riconoscimento di Amazon AWS WAF utilizzando librerie pronte

Il servizio CapMonster Cloud fornisce librerie pronte per lavorare comodamente nei linguaggi Python, JavaScript (Node.js) e C#.

Importante: questi esempi di codice utilizzano cookieSolution=False. Se come risultato hai bisogno di ottenere i cookie, imposta cookieSolution=True.

Python

JavaScript

Soluzione, recupero parametri e impostazione cookie

Esempio in Node.js per il ciclo completo di riconoscimento del captcha sulla tua pagina web. Approcci possibili: utilizzare richieste HTTP per ottenere l'HTML e i parametri del sistema di protezione, inviare la risposta ed elaborare il risultato. Oppure tramite strumenti di automazione (ad esempio Playwright): aprire la pagina, attendere la verifica, inviare i parametri tramite il client CapMonster Cloud, ottenere il risultato, inserire i cookie nel browser (per i test puoi usare sia dati corretti che errati) e vedere il risultato.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, AmazonRequest } from "@zennolab_com/capmonstercloud-client";

const API_KEY = "YOUR_API_KEY";
const CAPTCHA_URL = "https://example.com";

// Impostazioni proxy
const PROXY = {
    proxyType: "http",
    proxyAddress: "PROXY_HOST",
    proxyPort: 1234,
    proxyLogin: "PROXY_USER",
    proxyPassword: "PROXY_PASS"
};

(async () => {
    // 1) Apriamo la pagina tramite proxy e raccogliamo i parametri AWS WAF
    const browser = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    // attendiamo il caricamento degli script challenge e captcha
    await page.waitForFunction(() => {
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return scripts.some(src => src.includes("challenge")) && scripts.some(src => src.includes("captcha"));
    });

    // estraiamo i parametri AWS WAF (chiave, context, iv, link agli script)
    const params = await page.evaluate(() => {
        const gokuProps = window.gokuProps || {};
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return {
            websiteKey: gokuProps.key || null,
            context: gokuProps.context || null,
            iv: gokuProps.iv || null,
            challengeScript: scripts.find(src => src.includes("challenge")),
            captchaScript: scripts.find(src => src.includes("captcha"))
        };
    });

    await browser.close();

    // 2) Risolviamo AWS WAF tramite CapMonster Cloud
    const client = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: API_KEY }));

    const req = new AmazonRequest({
        websiteURL: CAPTCHA_URL,
        websiteKey: params.websiteKey,
        challengeScript: params.challengeScript,
        captchaScript: params.captchaScript,
        context: params.context,
        iv: params.iv,
        cookieSolution: true,
        proxy: PROXY
    });

    const solved = await client.Solve(req);
    const wafToken = solved.solution.cookies["aws-waf-token"];

    // 3) Inseriamo aws-waf-token e puliamo quelli vecchi
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const context2 = await browser2.newContext();

    // pulizia dei vecchi aws-waf-token per il tuo dominio
    const existingCookies = await context2.cookies();
    const filteredCookies = existingCookies.filter(c => !(c.name === "aws-waf-token" && c.domain.endsWith(".your-domain")));
    await context2.clearCookies();
    await context2.addCookies(filteredCookies);

    // impostazione del nuovo aws-waf-token
    await context2.addCookies([{
        name: "aws-waf-token",
        value: wafToken,
        domain: ".your-domain",
        path: "/",
        httpOnly: false,
        secure: true
    }]);

    const page2 = await context2.newPage();
    const response = await page2.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    console.log("Final page status:", response.status());
    console.log("Final page URL:", page2.url());

    await browser2.close();
})();

Esiste anche un'ottima opportunità per testare il riconoscimento dei captcha con l'aiuto dell'estensione del browser CapMonster Cloud, che consente di verificare rapidamente il funzionamento del captcha direttamente sulla pagina e monitorare il processo di soluzione in tempo reale senza scrivere codice – disponibile per l'installazione su Chrome e Firefox.

Come collegare AWS WAF al tuo sito

Per orientarti con sicurezza nel funzionamento del captcha sul tuo sito, comprendere la logica della sua verifica, ricollegarlo o riconfigurarlo, ti consigliamo di studiare questa sezione. Descrive il processo di connessione della protezione — questo ti aiuterà a capire rapidamente tutte le sfumature.

AWS WAF non può essere installato direttamente su un sito. Funziona solo tramite risorse AWS:

Amazon CloudFront (l'opzione principale e migliore) — una CDN attraverso la quale è possibile proteggere qualsiasi sito. Funziona velocemente, a livello globale ed è adatta a quasi tutti i casi.
Application Load Balancer (ALB) — utilizzato per siti lato server, API e container all'interno di AWS. Se il tuo backend funziona su EC2, ECS, EKS — metti il WAF sull'ALB.
API Gateway — protezione di API REST e WebSocket. Adatto per SPA, applicazioni mobili e microservizi.
AWS AppSync (API GraphQL)
Amazon Cognito (login/registrazione)
AWS App Runner (applicazioni containerizzate)
AWS Amplify Hosting (hosting frontend)
AWS Verified Access (accesso ad applicazioni interne)

Passo 1. Crea un account AWS (se non ne hai uno)

Vai su: https://portal.aws.amazon.com/billing/signup. Crea l'account > conferma email e telefono.

Importante: dopo la creazione, abilita l'MFA per l'utente root e crea un utente admin tramite IAM Identity Center.

Passo 2. Puoi usare l'interfaccia standard o la nuova interfaccia di AWS WAF:

Vai alla console AWS
Apri AWS WAF. Nel menu a sinistra clicca su Try the new experience (se offerto).

Passo 3. Crea un pacchetto di protezione (web ACL)

Questo è l'insieme delle regole di protezione per la tua risorsa.

Nel menu a sinistra seleziona: Resources & protection packs (Web ACLs)
Clicca su Add protection pack (web ACL).

Passo 4. Configura la categoria dell'applicazione:

Nel blocco Tell us about your app:

App category — seleziona Web / API / Both
Traffic source — da dove proviene il traffico (web, API o entrambi)

Questi parametri sono necessari affinché AWS offra regole ottimali.

Passo 5. Seleziona le risorse da proteggere

Clicca su Add resources
Scegli cosa stai collegando:

Se il tuo sito è su CloudFront > seleziona CloudFront distributions
Se il tuo backend è su ALB > seleziona Regional resources
Se API > seleziona API Gateway REST API
Spunta la casella sulla risorsa necessaria > clicca su Add.

Passo 6. Seleziona un set di regole iniziale.

AWS offrirà:

Recommended for you — l'opzione migliore per i principianti

Include:

protezione di base
regole contro SQLi e XSS
IP reputation lists (liste di reputazione IP)
Bot Control (opzionale)
regole per web/API

Clicca su Next.

Passo 7. Configurazione (opzionale)

Nella schermata Customize protection pack (web ACL):

Parametri principali:

Default action:
- Allow all except blocked — di solito si sceglie questo
- Block all except allowed — se il sito è chiuso
Default rate limits: Limite del numero di richieste (mitigazione DDoS L7)
IP addresses: Whitelist/Blacklist
Country specific origins: Restrizione del traffico per paesi

Logging

Scegli dove scrivere i log:

CloudWatch
S3
Firehose

(si raccomanda S3 + Athena).

Passo 8. Creare Web ACL

Clicca su: Add protection pack (web ACL)

AWS creerà le regole e le collegherà alla tua risorsa.

Verifica

Per assicurarsi che la protezione funzioni:

Apri WAF > seleziona la tua web ACL
Vai su Monitoring
Osserva:
- grafici del traffico
- richieste bloccate
- richieste campione (sample requests)

Aggiuntivo (opzionale)

Abilitare CAPTCHA o Challenge
In qualsiasi regola > Action > CAPTCHA / Challenge
Questo riduce il traffico dei bot e protegge le pagine di login e dei moduli.
Aggiungere Managed Rule Groups
Nella sezione Rule groups puoi aggiungere:
- AWS Managed
- Bot Control
- Account takeover prevention
- Marketplace rules (F5, Imperva, Fortinet)
Collegare con Shield Advanced. Per la protezione da DDoS (L3–L7).

Possibili errori e debug

Dominio o regola non validi — Il Challenge non viene visualizzato

Verifica che l'AWS WAF WebACL sia collegato al dominio corretto (CloudFront Distribution / ALB / API Gateway), al percorso corretto e che non ci siano conflitti tra le regole.

Timeout durante il caricamento della pagina o la verifica

A volte il browser o lo script non attende la risposta di AWS WAF. Aumenta i timeout nei test e assicurati che il backend elabori le richieste senza ritardi.

Cookie AWS WAF scaduti

Gli _aws_waf_token_… obsoleti o i tag cookie correlati portano a un Challenge ripetuto o a un blocco temporaneo.

Regole eccessivamente sensibili

Le firme di Bot Control troppo rigide, le regole CAPTCHA o le regole basate sulla frequenza (Rate-based) possono bloccare utenti reali.

Configurazione errata della WebACL

Errori nell'ordine delle regole, nelle priorità o nelle condizioni possono portare a falsi positivi e blocchi.

Verifiche della resilienza della protezione

Dopo l'integrazione assicurati che il sistema protegga davvero il sito dalle azioni automatizzate.

Esegui una richiesta senza cookie AWS WAF. Dovrebbe attivarsi la regola corrispondente a seconda della configurazione.

Verifica il rientro con cookie validi. L'utente dovrebbe passare senza verifiche ripetute se la policy WAF consente il traffico e i tag sono corretti.

Esegui test di carico (k6/JMeter). La WebACL deve elaborare stabilmente un gran numero di richieste senza errori 500/503 da parte della risorsa protetta.

Verifica il comportamento con cookie scaduti o errati. Aspettativa — Challenge ripetuto o applicazione della regola Block/Challenge configurata.

Suggerimenti di sicurezza e ottimizzazione

Configura la WebACL in base al livello di rischio. Usa Managed Rules (AWS, AWS Marketplace), AWS Bot Control e regole personalizzate basate su reputazione IP, intestazioni, rate limiting e altre condizioni.

Configura la WebACL in base al livello di rischio. Usa Managed Rules (AWS, AWS Marketplace), AWS Bot Control e regole personalizzate basate su reputazione IP, intestazioni, rate limiting e altre condizioni.

Registra gli eventi WAF. Abilita <a href="https://docs.aws.amazon.com/waf/latest/developerguide/logging.html" target="_blank">AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs)</a> per l'analisi dei falsi positivi e l'ottimizzazione delle regole.

Registra gli eventi WAF. Abilita AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs) per l'analisi dei falsi positivi e l'ottimizzazione delle regole.

Aggiungi link alla <b>Privacy Policy</b> e ai <b>Termini di utilizzo</b>. Questo è importante per la trasparenza e la conformità ai requisiti di sicurezza e alle aspettative degli utenti.

Aggiungi link alla Privacy Policy e ai Termini di utilizzo. Questo è importante per la trasparenza e la conformità ai requisiti di sicurezza e alle aspettative degli utenti.

Conclusione

Se ti è capitato un sito con un captcha o un altro sistema di protezione già installato e senza accesso al codice, nessun problema! È piuttosto facile capire quale tecnologia viene utilizzata. Per verificare che tutto funzioni correttamente, puoi usare il servizio di riconoscimento CapMonster Cloud in un ambiente di test isolato, così da assicurarti che il meccanismo di elaborazione dei token e la logica di verifica funzionino correttamente.

Nel caso di Amazon AWS WAF, è sufficiente individuare il sistema, analizzarne il comportamento e assicurarsi che la protezione funzioni correttamente. Nell’articolo abbiamo mostrato come riconoscere Amazon AWS WAF e dove trovare le istruzioni per la sua integrazione o riconfigurazione, in modo da poter mantenere la protezione in modo affidabile e controllarne il funzionamento.

Link utili

Documentazione AWS WAF →

Documentazione CapMonster Cloud (lavoro con AWS WAF) →

Panoramica della protezione delle risorse web con AWS WAF →

L'estensione browser di CapMonster Cloud è disponibile per Chrome e Firefox. La guida completa all'installazione e all'uso è disponibile qui.

Amazon AWS WAF e CapMonster Cloud

Aggiuntivo (opzionale)

Amazon AWS WAF
e CapMonster Cloud