Loading...
Prezzi della soluzione Imperva Incapsula
Hai ereditato un sito con una captcha o un'altra protezione ma senza accesso al codice sorgente? È normale chiedersi quale soluzione sia installata, se sia configurata correttamente e come testarla.
In questo articolo abbiamo cercato di rispondere a tutte le domande principali. Il primo passo per risolvere il problema è capire quale sistema di protezione viene utilizzato. A questo scopo puoi consultare l’elenco dei captcha e dei sistemi di protezione antibot più diffusi, dove trovi esempi visivi e caratteristiche chiave che ti aiutano a identificare rapidamente con cosa hai a che fare.
Se scopri che sul tuo sito viene utilizzato Imperva Incapsula, il passo successivo è analizzarne più nel dettaglio le proprietà e il funzionamento. In questo stesso articolo puoi anche studiare la guida all’integrazione di Imperva Incapsula, per comprendere a fondo come opera sul tuo sito. Questo ti permetterà non solo di capire la protezione attuale, ma anche di pianificarne correttamente la manutenzione.
Cos'è Incapsula
Imperva Incapsula Web Protection è un sistema di protezione web basato su cloud per siti e applicazioni contro le minacce esterne. Il sistema utilizza reverse proxy sicuri e un Web Application Firewall (WAF), situati in tutto il mondo su server CDN. Il sito viene instradato attraverso server sicuri Imperva, il che consente di verificare ogni richiesta e filtrare le attività dannose.
Come risolvere Incapsula tramite CapMonster Cloud
Durante il test di pagine protette da Imperva Incapsula, è spesso necessario assicurarsi che la protezione funzioni correttamente e che il sistema filtri adeguatamente il traffico sospetto.
Puoi verificare manualmente il funzionamento della protezione sul tuo sito:
- Apri la pagina desiderata e assicurati che Incapsula presenti una verifica.
- Prova ad accedere senza completare la verifica: il sito dovrebbe restituire un errore 405 o una challenge aggiuntiva.
- Dopo aver superato la verifica, l'accesso dovrebbe aprirsi senza errori.
Per automatizzare tali controlli, è possibile utilizzare servizi come CapMonster Cloud.
CapMonster accetta i parametri della challenge di Imperva (ad esempio, il cookie _incap_, dati da HTML e script), li elabora e restituisce cookie validi pronti all'uso, che possono essere inseriti nel browser o nel client HTTP.
Lavorare con CapMonster Cloud via API di solito prevede i seguenti passaggi:
Creazione della task
In questa fase trasmetti la tua chiave API, il tipo di captcha e i suoi parametri. Il servizio restituisce un taskId univoco, con il quale successivamente è possibile ottenere il risultato.
Invio della richiesta APINella richiesta per risolvere Incapsula, è necessario specificare i seguenti parametri:
type - CustomTask;
class - Imperva;
websiteURL - indirizzo della pagina principale in cui si trova Incapsula;
incapsulaScriptUrl (all'interno dei metadati) - "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3" — nome del file js di Incapsula;
incapsulaCookies (all'interno dei metadati) - i tuoi cookie da Incapsula. Possono essere ottenuti sulla pagina utilizzando document.cookie o nell'intestazione della richiesta Set-Cookie: "incap_sess_*=...; visid_incap_*=..." (vedi esempio di richiesta /createTask);
reese84UrlEndpoint (all'interno dei metadati) -
Riconoscimento di Imperva Incapsula utilizzando librerie pronte
Il servizio CapMonster Cloud fornisce librerie pronte per lavorare comodamente nei linguaggi Python e JavaScript (Node.js).
Python
JavaScript
Come collegare Imperva Incapsula al proprio sito
Per orientarti con sicurezza nel funzionamento del captcha sul tuo sito, comprendere la logica della sua verifica, ricollegare o riconfigurare la protezione, ti consigliamo di studiare questa sezione. In essa è descritto il processo di collegamento della protezione: questo ti aiuterà a comprendere rapidamente tutte le sfumature.
1. Crea un account (usa la tua email aziendale per la registrazione) e vai alla Imperva Cloud Security Console.
2. Conferma l'email. Dopo l'accesso, verrai indirizzato al pannello di controllo (puoi saperne di più sul lavoro con la Security Console nella documentazione).
3. Apri la sezione Websites e inserisci il dominio reale del tuo sito.
Importante: Non utilizzare localhost, 127.0.0.1, domini come .test e altri indirizzi inesistenti.
Imperva automaticamente:
- rileverà il tuo provider DNS,
- verificherà l'SSL,
- inizierà la scansione dei record DNS.
4. Configura i record DNS. Se Imperva mostra il passaggio:
Point dev.mysite.com DNS records to ImpervaFai quanto segue:
- Vai al pannello DNS del tuo registrar o hosting.
- Crea o aggiorna il record:
Tipo: CNAME
Nome: dev (sottodominio che stai collegando)
Valore: <tuo_host_imperva>.ng.impervadns.net
Esempio:
dev.mysite.com > CNAME > xivaxeo.ng.impervadns.net
Possibili errori e debug
Dominio o regola non validi — La Challenge non viene mostrata.
Verifica che la Security Rule sia associata al dominio e al percorso corretti e che non vi siano conflitti con IncapRules o ACL.
Timeout durante il caricamento della pagina o la verifica.
Il browser potrebbe non attendere la risposta di Imperva. Aumenta i timeout nei test e assicurati che il backend risponda abbastanza velocemente.
Cookie Imperva scaduti.
Valori obsoleti di visid_incap, incap_ses, nlbi causano una Challenge ripetuta o un blocco.
Regole eccessivamente sensibili.
Firme rigide possono bloccare visitatori reali del tuo sito.
Configurazione errata.
Impostazioni o regole errate che non tengono conto delle specificità del sito causano blocchi errati e falsi positivi.
Verifiche della resilienza della protezione
Dopo l'integrazione assicurati che il sistema protegga davvero il sito dalle azioni automatizzate.
Esegui una richiesta senza cookie Imperva. Dovrebbe scattare la regola WAF (ad esempio, blocco o verifica aggiuntiva secondo la policy).
Verifica l'accesso ripetuto con cookie validi. L'utente dovrebbe passare senza verifiche ripetute se il WAF consente questo traffico.
Esegui test di carico (k6/JMeter). Il WAF dovrebbe elaborare stabilmente un elevato volume di richieste e non restituire errori 500/503.
Verifica il comportamento con cookie scaduti o errati. Il risultato atteso è una verifica ripetuta o l'applicazione della regola WAF configurata.
Suggerimenti di sicurezza e ottimizzazione
Configura il WAF e le Security Policies in base al livello di rischio. Utilizza Managed Rules, Bot Protection e regole personalizzate per un controllo più preciso.
Registra gli eventi di sicurezza e le attivazioni del WAF per identificare falsi positivi e analizzare le cause dei blocchi.
Per trasparenza, aggiungi link alla Privacy Policy e ai Termini di utilizzo. Questo è importante per la trasparenza e la conformità ai requisiti di sicurezza.
Captcha supportati
reCAPTCHA v2
GeeTest
Cloudflare Turnstile
DataDomeConclusione
Se ti è capitato un sito con un captcha o un altro sistema di protezione già installato e senza accesso al codice, nessun problema! È piuttosto facile capire quale tecnologia viene utilizzata. Per verificare che tutto funzioni correttamente, puoi usare il servizio di riconoscimento CapMonster Cloud in un ambiente di test isolato, così da assicurarti che il meccanismo di elaborazione dei token e la logica di verifica funzionino correttamente.
Nel caso di Imperva Incapsula, è sufficiente individuare il sistema, analizzarne il comportamento e assicurarsi che la protezione funzioni correttamente. Nell’articolo abbiamo mostrato come riconoscere Imperva Incapsula e dove trovare le istruzioni per la sua integrazione o riconfigurazione, in modo da poter mantenere la protezione in modo affidabile e controllarne il funzionamento.
Amazon Waf
Faucet Pay
Prosopo
Text CAPTCHA
Yidun
MTCaptcha
Altcha
Funcaptcha
TSPD
Hunt
Alibaba
Friendly