Solver CAPTCHA AWS WAF | CapMonster Cloud

Amazon AWS WAF
i CapMonster Cloud

Rozwiązywanie captcha, instalacja na stronie i testowanie.

Cennik rozwiązania Amazon AWS WAF

CAPTCHA

Cena

Powodzenie

Amazon Waf

99%

$ 1.40

1k tokenów

99%

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest Amazon AWS WAF, kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu Amazon AWS WAF, aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest AWS WAF od Amazon

AWS WAF (Amazon Web Services Web Application Firewall) — to chmurowy firewall aplikacji internetowych od Amazon, który chroni strony, API i aplikacje internetowe przed atakami i szkodliwym ruchem. Mówiąc prościej, jest to filtr, który stoi przed Twoją stroną lub API i decyduje, jaki ruch odwiedzających przepuścić, a jaki zablokować.

Jeśli na stronie włączone jest wyzwanie (Challenge/CAPTCHA), odwiedzający może zobaczyć osobną stronę weryfikacyjną. Zostanie poproszony o wykonanie zadania, na przykład wybranie wszystkich obrazków z jednej kategorii, aby potwierdzić, że nie jest botem.

Jak rozwiązać AWS WAF za pomocą CapMonster Cloud

Podczas testowania zasobów chronionych przez AWS WAF ważne jest, aby upewnić się, że ochrona działa poprawnie i jest właściwie zintegrowana.

Możesz ręcznie sprawdzić działanie ochrony:

Otwórz stronę z formularzem lub zasobem i upewnij się, że AWS WAF poprawnie reaguje na zapytania.
Spróbuj wykonać działania, które mogą być ograniczone przez WAF (np. masowe zapytania, podejrzane nagłówki) — serwer powinien zablokować takie zapytania lub zwrócić błąd.

Po pomyślnym przejściu weryfikacji AWS WAF ustawia pliki cookie, które potwierdzają, że użytkownik lub klient przeszedł kontrolę i zaufany ruch jest dozwolony.

Do automatycznego rozpoznawania captcha można użyć wyspecjalizowanych usług, na przykład CapMonster Cloud — narzędzia, które przyjmuje parametry captcha, przetwarza je na swoich serwerach i zwraca gotowe pliki cookie lub token. Można je wstawić do przeglądarki, aby przejść weryfikację bez udziału użytkownika.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie przekazujesz swój klucz API, typ captcha i jej parametry. Usługa zwraca unikalny identyfikator taskId, za pomocą którego później można uzyskać wynik.

Wysyłanie żądania API

W zapytaniu o rozwiązanie AWS WAF należy podać następujące parametry:

type - AmazonTask;

websiteURL - adres strony głównej, na której rozwiązywana jest captcha;

challengeScript - link do challenge.js;

Następujące parametry są pobierane z window.gokuProps (wszystkie są typu string):

websiteKey
context
iv

captchaScript - link do captcha.js (może go nie być, jeśli masz tylko Challenge);

cookieSolution - domyślnie false — w odpowiedzi otrzymasz "captcha_voucher" i "existing_token". Jeśli potrzebujesz plików cookie "aws-waf-token", ustaw wartość true.;

Rozpoznawanie Amazon AWS WAF przy użyciu gotowych bibliotek

Usługa CapMonster Cloud udostępnia gotowe biblioteki do wygodnej pracy w językach Python, JavaScript (Node.js) i C#.

Ważne: te przykłady kodu używają cookieSolution=False. Jeśli w rezultacie musisz otrzymać pliki cookie, ustaw cookieSolution=True.

Python

JavaScript

Jak podłączyć AWS WAF do swojej strony

Aby pewnie orientować się w działaniu captcha na Twojej stronie, rozumieć logikę jej weryfikacji, ponownie ją podłączyć lub skonfigurować, zalecamy zapoznanie się z tą sekcją. Opisano w niej proces podłączania ochrony — pomoże to szybko zrozumieć wszystkie niuanse.

AWS WAF nie można zainstalować bezpośrednio na stronie. Działa tylko za pośrednictwem zasobów AWS:

Amazon CloudFront (główna i najlepsza opcja) — CDN, za pomocą którego można chronić dowolną stronę. Działa szybko, globalnie i nadaje się do prawie wszystkich przypadków.
Application Load Balancer (ALB) — używany dla stron serwerowych, API i kontenerów wewnątrz AWS. Jeśli Twój backend działa w EC2, ECS, EKS — umieść WAF na ALB.
API Gateway — ochrona API REST i WebSocket. Odpowiednie dla SPA, aplikacji mobilnych i mikrousług.
AWS AppSync (GraphQL API)
Amazon Cognito (logowanie/rejestracja)
AWS App Runner (aplikacje w kontenerach)
AWS Amplify Hosting (hosting frontendowy)
AWS Verified Access (dostęp do aplikacji wewnętrznych)

Krok 1. Utwórz konto AWS (jeśli go nie masz)

Przejdź do: https://portal.aws.amazon.com/billing/signup. Utwórz konto > potwierdź e-mail i telefon.

Ważne: po utworzeniu włącz MFA dla użytkownika root i utwórz użytkownika admin przez IAM Identity Center.

Krok 2. Możesz użyć interfejsu standardowego lub nowego interfejsu AWS WAF:

Przejdź do konsoli AWS
Otwórz AWS WAF. W lewym menu kliknij Try the new experience (jeśli jest oferowane).

Krok 3. Utwórz pakiet ochrony (web ACL)

Możliwe błędy i debugowanie

Nieprawidłowa domena lub reguła — Challenge się nie wyświetla

Sprawdź, czy AWS WAF WebACL jest przypisany do właściwej domeny (CloudFront Distribution / ALB / API Gateway), poprawnej ścieżki i czy nie ma konfliktów między regułami.

Limit czasu ładowania strony lub weryfikacji

Czasami przeglądarka lub skrypt nie czeka na odpowiedź AWS WAF. Zwiększ limity czasu (timeout) w testach i upewnij się, że backend przetwarza żądania bez opóźnień.

Przeterminowane pliki cookie AWS WAF

Przestarzałe _aws_waf_token_… lub powiązane znaczniki plików cookie prowadzą do ponownego wyzwania (Challenge) lub tymczasowej blokady.

Zbyt czułe reguły

Zbyt rygorystyczne sygnatury Bot Control, reguły CAPTCHA lub reguły oparte na częstotliwości (Rate-based) mogą blokować prawdziwych użytkowników.

Nieprawidłowa konfiguracja WebACL

Błędy w kolejności reguł, priorytetach lub warunkach mogą prowadzić do fałszywych alarmów (false positives) i blokad.

Sprawdzenie odporności ochrony

Po integracji upewnij się, że system faktycznie chroni stronę przed automatycznymi działaniami.

Wykonaj zapytanie bez plików cookie AWS WAF. Powinna zadziałać odpowiednia reguła w zależności od konfiguracji.

Sprawdź ponowne wejście z ważnymi plikami cookie. Użytkownik powinien przejść bez ponownych sprawdzeń, jeśli polityka WAF dopuszcza ruch, a znaczniki są poprawne.

Przeprowadź testy obciążeniowe (k6/JMeter). WebACL powinien stabilnie przetwarzać dużą liczbę zapytań bez błędów 500/503 ze strony chronionego zasobu.

Sprawdź zachowanie z przeterminowanymi lub nieprawidłowymi plikami cookie. Oczekiwanie — ponowny Challenge lub zastosowanie skonfigurowanej reguły Block/Challenge.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

Skonfiguruj WebACL zgodnie z poziomem ryzyka. Używaj Managed Rules (AWS, AWS Marketplace), AWS Bot Control i niestandardowych reguł opartych na reputacji IP, nagłówkach, limitach częstotliwości i innych warunkach.

Skonfiguruj WebACL zgodnie z poziomem ryzyka. Używaj Managed Rules (AWS, AWS Marketplace), AWS Bot Control i niestandardowych reguł opartych na reputacji IP, nagłówkach, limitach częstotliwości i innych warunkach.

Loguj zdarzenia WAF. Włącz <a href="https://docs.aws.amazon.com/waf/latest/developerguide/logging.html" target="_blank">AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs)</a> do analizy fałszywych alarmów i optymalizacji reguł.

Loguj zdarzenia WAF. Włącz AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs) do analizy fałszywych alarmów i optymalizacji reguł.

Dodaj linki do <span class="font-bold">Polityki prywatności</span> i <span class="font-bold">Warunków użytkowania</span>. Jest to ważne dla przejrzystości i zgodności z wymogami bezpieczeństwa oraz oczekiwaniami użytkowników.

Dodaj linki do Polityki prywatności i Warunków użytkowania. Jest to ważne dla przejrzystości i zgodności z wymogami bezpieczeństwa oraz oczekiwaniami użytkowników.

Obsługiwane captchas

reCAPTCHA v2

reCAPTCHA v3

reCAPTCHA v2 Enterprise

reCAPTCHA v3 Enterprise

GeeTest

Cloudflare Turnstile

Cloudflare Bot Challenge

DataDome

Tencent CAPTCHA

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku Amazon AWS WAF wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować Amazon AWS WAF oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Dokumentacja AWS WAF →

Dokumentacja CapMonster Cloud (praca z AWS WAF) →

Przegląd ochrony zasobów internetowych za pomocą AWS WAF →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

{
  "clientKey": "API_KEY",
  "task": {
    "type": "AmazonTask",
    "websiteURL": "https://example.com/index.html",
    "websiteKey": "h15hX7brbaRTR...Za1_1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36",
    "captchaScript": "https://234324vgvc23.yejk.captcha-sdk.awswaf.com/234324vgvc23/jsapi.js",
    "cookieSolution": true,
    "proxyType": "http",
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"cookies": {
			"aws-waf-token": "10115f5b-ebd8-45c7-851e-cfd4f6a82e3e:EAoAua1QezAhAAAA:dp7sp2rXIRcnJcmpWOC1vIu+yq/A3EbR6b6K7c67P49usNF1f1bt/Af5pNcZ7TKZlW+jIZ7QfNs8zjjqiu8C9XQq50Pmv2DxUlyFtfPZkGwk0d27Ocznk18/IOOa49Rydx+/XkGA7xoGLNaUelzNX34PlyXjoOtL0rzYBxMAQy0D1tn+Q5u97kJBjs5Mytqu9tXPIPCTSn4dfXv5llSkv9pxBEnnhwz6HEdmdJMdfur+YRW1MgCX7i3L2Y0/CNL8kd8CEhTMzwyoXekrzBM="
		},
		"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36"
	}
}

Rozwiązanie, pobranie parametrów i ustawienie plików cookie

Przykład w Node.js dla pełnego cyklu rozpoznawania captcha na Twojej stronie internetowej. Możliwe podejścia: użycie zapytań HTTP do pobrania HTML i parametrów systemu ochrony, wysłanie odpowiedzi i przetworzenie wyniku. Lub za pomocą narzędzi do automatyzacji (np. Playwright) — otwórz stronę, poczekaj na weryfikację, wyślij parametry przez klienta CapMonster Cloud, uzyskaj wynik, wstaw pliki cookie do przeglądarki (do testów możesz użyć zarówno poprawnych, jak i niepoprawnych danych) i zobacz wynik.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, AmazonRequest } from "@zennolab_com/capmonstercloud-client";

const API_KEY = "YOUR_API_KEY";
const CAPTCHA_URL = "https://example.com";

// Ustawienia proxy
const PROXY = {
    proxyType: "http",
    proxyAddress: "PROXY_HOST",
    proxyPort: 1234,
    proxyLogin: "PROXY_USER",
    proxyPassword: "PROXY_PASS"
};

(async () => {
    // 1) Otwieramy stronę przez proxy i zbieramy parametry AWS WAF
    const browser = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    // czekamy na załadowanie skryptów challenge i captcha
    await page.waitForFunction(() => {
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return scripts.some(src => src.includes("challenge")) && scripts.some(src => src.includes("captcha"));
    });

    // wyciągamy parametry AWS WAF (klucz, context, iv, linki do skryptów)
    const params = await page.evaluate(() => {
        const gokuProps = window.gokuProps || {};
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return {
            websiteKey: gokuProps.key || null,
            context: gokuProps.context || null,
            iv: gokuProps.iv || null,
            challengeScript: scripts.find(src => src.includes("challenge")),
            captchaScript: scripts.find(src => src.includes("captcha"))
        };
    });

    await browser.close();

    // 2) Rozwiązujemy AWS WAF przez CapMonster Cloud
    const client = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: API_KEY }));

    const req = new AmazonRequest({
        websiteURL: CAPTCHA_URL,
        websiteKey: params.websiteKey,
        challengeScript: params.challengeScript,
        captchaScript: params.captchaScript,
        context: params.context,
        iv: params.iv,
        cookieSolution: true,
        proxy: PROXY
    });

    const solved = await client.Solve(req);
    const wafToken = solved.solution.cookies["aws-waf-token"];

    // 3) Podstawiamy aws-waf-token i czyścimy stare
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const context2 = await browser2.newContext();

    // czyszczenie starych aws-waf-token dla twojej domeny
    const existingCookies = await context2.cookies();
    const filteredCookies = existingCookies.filter(c => !(c.name === "aws-waf-token" && c.domain.endsWith(".your-domain")));
    await context2.clearCookies();
    await context2.addCookies(filteredCookies);

    // ustawienie nowego aws-waf-token
    await context2.addCookies([{
        name: "aws-waf-token",
        value: wafToken,
        domain: ".your-domain",
        path: "/",
        httpOnly: false,
        secure: true
    }]);

    const page2 = await context2.newPage();
    const response = await page2.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    console.log("Final page status:", response.status());
    console.log("Final page URL:", page2.url());

    await browser2.close();
})();

Istnieje również doskonała możliwość przetestowania rozpoznawania captcha za pomocą rozszerzenia przeglądarki CapMonster Cloud, które pozwala szybko sprawdzić działanie captcha bezpośrednio na stronie i śledzić proces rozwiązywania w czasie rzeczywistym bez pisania kodu – dostępne do instalacji w Chrome i Firefox.

Amazon AWS WAF i CapMonster Cloud

Cennik rozwiązania Amazon AWS WAF

Jak rozwiązać AWS WAF za pomocą CapMonster Cloud

Obsługiwane captchas

Amazon AWS WAF
i CapMonster Cloud