Amazon AWS WAF
i CapMonster Cloud

Rozwiązywanie captcha, instalacja na stronie i testowanie.

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest Amazon AWS WAF, kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu Amazon AWS WAF, aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest AWS WAF od Amazon

AWS WAF (Amazon Web Services Web Application Firewall) — to chmurowy firewall aplikacji internetowych od Amazon, który chroni strony, API i aplikacje internetowe przed atakami i szkodliwym ruchem. Mówiąc prościej, jest to filtr, który stoi przed Twoją stroną lub API i decyduje, jaki ruch odwiedzających przepuścić, a jaki zablokować.

Jeśli na stronie włączone jest wyzwanie (Challenge/CAPTCHA), odwiedzający może zobaczyć osobną stronę weryfikacyjną. Zostanie poproszony o wykonanie zadania, na przykład wybranie wszystkich obrazków z jednej kategorii, aby potwierdzić, że nie jest botem.

Jak rozwiązać AWS WAF za pomocą CapMonster Cloud

Podczas testowania zasobów chronionych przez AWS WAF ważne jest, aby upewnić się, że ochrona działa poprawnie i jest właściwie zintegrowana.

Możesz ręcznie sprawdzić działanie ochrony:

Otwórz stronę z formularzem lub zasobem i upewnij się, że AWS WAF poprawnie reaguje na zapytania.
Spróbuj wykonać działania, które mogą być ograniczone przez WAF (np. masowe zapytania, podejrzane nagłówki) — serwer powinien zablokować takie zapytania lub zwrócić błąd.

Po pomyślnym przejściu weryfikacji AWS WAF ustawia pliki cookie, które potwierdzają, że użytkownik lub klient przeszedł kontrolę i zaufany ruch jest dozwolony.

Do automatycznego rozpoznawania captcha można użyć wyspecjalizowanych usług, na przykład CapMonster Cloud — narzędzia, które przyjmuje parametry captcha, przetwarza je na swoich serwerach i zwraca gotowe pliki cookie lub token. Można je wstawić do przeglądarki, aby przejść weryfikację bez udziału użytkownika.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie przekazujesz swój klucz API, typ captcha i jej parametry. Usługa zwraca unikalny identyfikator taskId, za pomocą którego później można uzyskać wynik.

Wysyłanie żądania API

W zapytaniu o rozwiązanie AWS WAF należy podać następujące parametry:

type - AmazonTask;

websiteURL - adres strony głównej, na której rozwiązywana jest captcha;

challengeScript - link do challenge.js;

Następujące parametry są pobierane z window.gokuProps (wszystkie są typu string):

websiteKey
context
iv

captchaScript - link do captcha.js (może go nie być, jeśli masz tylko Challenge);

cookieSolution - domyślnie false — w odpowiedzi otrzymasz "captcha_voucher" i "existing_token". Jeśli potrzebujesz plików cookie "aws-waf-token", ustaw wartość true.;

userAgent - User-Agent przeglądarki. Przesyłaj tylko aktualny UA z systemu operacyjnego Windows;

Również do tego zadania wymagane jest użycie Twoich serwerów proxy:

proxyType :

http - zwykły serwer proxy HTTP/HTTPS;
https - wypróbuj tę opcję, jeśli «http» nie działa (wymagane dla niektórych niestandardowych proxy);
socks4 - serwer proxy typu SOCKS4;
socks5 - serwer proxy typu SOCKS5;

proxyAddress - Adres IP serwera proxy IPv4/IPv6;

proxyPort - port serwera proxy;

proxyLogin - login do serwera proxy;

proxyPassword - hasło do serwera proxy.

Więcej o parametrach i ich automatycznym pozyskiwaniu znajdziesz w dokumentacji CapMonster Cloud.

Adres do wysyłania zadań:

https://api.capmonster.cloud/createTask

Przykład żądania:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "AmazonTask",
    "websiteURL": "https://example.com/index.html",
    "websiteKey": "h15hX7brbaRTR...Za1_1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
    "captchaScript": "https://234324vgvc23.yejk.captcha-sdk.awswaf.com/234324vgvc23/jsapi.js",
    "cookieSolution": true,
    "proxyType": "http",
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Odpowiedź:

{
  "errorId":0,
  "taskId":407533072
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"cookies": {
			"aws-waf-token": "10115f5b-ebd8-45c7-851e-cfd4f6a82e3e:EAoAua1QezAhAAAA:dp7sp2rXIRcnJcmpWOC1vIu+yq/A3EbR6b6K7c67P49usNF1f1bt/Af5pNcZ7TKZlW+jIZ7QfNs8zjjqiu8C9XQq50Pmv2DxUlyFtfPZkGwk0d27Ocznk18/IOOa49Rydx+/XkGA7xoGLNaUelzNX34PlyXjoOtL0rzYBxMAQy0D1tn+Q5u97kJBjs5Mytqu9tXPIPCTSn4dfXv5llSkv9pxBEnnhwz6HEdmdJMdfur+YRW1MgCX7i3L2Y0/CNL8kd8CEhTMzwyoXekrzBM="
		},
		"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36"
	}
}

Podstawianie plików cookie aws-waf-token na stronę

Dane otrzymane od CapMonster Cloud (prawidłowe pliki cookie AWS WAF) można wstawić do kontekstu przeglądarki lub klienta HTTP. Po tym strona postrzega zapytanie jako zweryfikowane i pozwala kontynuować pracę bez dodatkowych sprawdzeń lub stron typu challenge.

Do automatyzacji i testowania wygodnie jest używać Puppeteer, Selenium lub Playwright — pozwalają one:

otworzyć stronę chronioną przez AWS WAF;
dodać otrzymane pliki cookie do kontekstu przeglądarki;
odświeżyć stronę już z ważną weryfikacją;
wykonywać dalsze działania (wysyłać formularze, przechodzić między stronami, testować funkcjonalność).

W ten sposób można sprawdzić poprawność działania ochrony i upewnić się, że strona prawidłowo akceptuje i przetwarza ważne pliki cookie AWS WAF.

Rozpoznawanie Amazon AWS WAF przy użyciu gotowych bibliotek

Usługa CapMonster Cloud udostępnia gotowe biblioteki do wygodnej pracy w językach Python, JavaScript (Node.js) i C#.

Ważne: te przykłady kodu używają cookieSolution=False. Jeśli w rezultacie musisz otrzymać pliki cookie, ustaw cookieSolution=True.

Python

JavaScript

Rozwiązanie, pobranie parametrów i ustawienie plików cookie

Przykład w Node.js dla pełnego cyklu rozpoznawania captcha na Twojej stronie internetowej. Możliwe podejścia: użycie zapytań HTTP do pobrania HTML i parametrów systemu ochrony, wysłanie odpowiedzi i przetworzenie wyniku. Lub za pomocą narzędzi do automatyzacji (np. Playwright) — otwórz stronę, poczekaj na weryfikację, wyślij parametry przez klienta CapMonster Cloud, uzyskaj wynik, wstaw pliki cookie do przeglądarki (do testów możesz użyć zarówno poprawnych, jak i niepoprawnych danych) i zobacz wynik.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, AmazonRequest } from "@zennolab_com/capmonstercloud-client";

const API_KEY = "YOUR_API_KEY";
const CAPTCHA_URL = "https://example.com";

// Ustawienia proxy
const PROXY = {
    proxyType: "http",
    proxyAddress: "PROXY_HOST",
    proxyPort: 1234,
    proxyLogin: "PROXY_USER",
    proxyPassword: "PROXY_PASS"
};

(async () => {
    // 1) Otwieramy stronę przez proxy i zbieramy parametry AWS WAF
    const browser = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    // czekamy na załadowanie skryptów challenge i captcha
    await page.waitForFunction(() => {
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return scripts.some(src => src.includes("challenge")) && scripts.some(src => src.includes("captcha"));
    });

    // wyciągamy parametry AWS WAF (klucz, context, iv, linki do skryptów)
    const params = await page.evaluate(() => {
        const gokuProps = window.gokuProps || {};
        const scripts = Array.from(document.querySelectorAll("script")).map(s => s.src || "");
        return {
            websiteKey: gokuProps.key || null,
            context: gokuProps.context || null,
            iv: gokuProps.iv || null,
            challengeScript: scripts.find(src => src.includes("challenge")),
            captchaScript: scripts.find(src => src.includes("captcha"))
        };
    });

    await browser.close();

    // 2) Rozwiązujemy AWS WAF przez CapMonster Cloud
    const client = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: API_KEY }));

    const req = new AmazonRequest({
        websiteURL: CAPTCHA_URL,
        websiteKey: params.websiteKey,
        challengeScript: params.challengeScript,
        captchaScript: params.captchaScript,
        context: params.context,
        iv: params.iv,
        cookieSolution: true,
        proxy: PROXY
    });

    const solved = await client.Solve(req);
    const wafToken = solved.solution.cookies["aws-waf-token"];

    // 3) Podstawiamy aws-waf-token i czyścimy stare
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `http://${PROXY.proxyAddress}:${PROXY.proxyPort}`,
            username: PROXY.proxyLogin,
            password: PROXY.proxyPassword
        }
    });

    const context2 = await browser2.newContext();

    // czyszczenie starych aws-waf-token dla twojej domeny
    const existingCookies = await context2.cookies();
    const filteredCookies = existingCookies.filter(c => !(c.name === "aws-waf-token" && c.domain.endsWith(".your-domain")));
    await context2.clearCookies();
    await context2.addCookies(filteredCookies);

    // ustawienie nowego aws-waf-token
    await context2.addCookies([{
        name: "aws-waf-token",
        value: wafToken,
        domain: ".your-domain",
        path: "/",
        httpOnly: false,
        secure: true
    }]);

    const page2 = await context2.newPage();
    const response = await page2.goto(CAPTCHA_URL, { waitUntil: "networkidle" });

    console.log("Final page status:", response.status());
    console.log("Final page URL:", page2.url());

    await browser2.close();
})();

Istnieje również doskonała możliwość przetestowania rozpoznawania captcha za pomocą rozszerzenia przeglądarki CapMonster Cloud, które pozwala szybko sprawdzić działanie captcha bezpośrednio na stronie i śledzić proces rozwiązywania w czasie rzeczywistym bez pisania kodu – dostępne do instalacji w Chrome i Firefox.

Jak podłączyć AWS WAF do swojej strony

Aby pewnie orientować się w działaniu captcha na Twojej stronie, rozumieć logikę jej weryfikacji, ponownie ją podłączyć lub skonfigurować, zalecamy zapoznanie się z tą sekcją. Opisano w niej proces podłączania ochrony — pomoże to szybko zrozumieć wszystkie niuanse.

AWS WAF nie można zainstalować bezpośrednio na stronie. Działa tylko za pośrednictwem zasobów AWS:

Amazon CloudFront (główna i najlepsza opcja) — CDN, za pomocą którego można chronić dowolną stronę. Działa szybko, globalnie i nadaje się do prawie wszystkich przypadków.
Application Load Balancer (ALB) — używany dla stron serwerowych, API i kontenerów wewnątrz AWS. Jeśli Twój backend działa w EC2, ECS, EKS — umieść WAF na ALB.
API Gateway — ochrona API REST i WebSocket. Odpowiednie dla SPA, aplikacji mobilnych i mikrousług.
AWS AppSync (GraphQL API)
Amazon Cognito (logowanie/rejestracja)
AWS App Runner (aplikacje w kontenerach)
AWS Amplify Hosting (hosting frontendowy)
AWS Verified Access (dostęp do aplikacji wewnętrznych)

Krok 1. Utwórz konto AWS (jeśli go nie masz)

Przejdź do: https://portal.aws.amazon.com/billing/signup. Utwórz konto > potwierdź e-mail i telefon.

Ważne: po utworzeniu włącz MFA dla użytkownika root i utwórz użytkownika admin przez IAM Identity Center.

Krok 2. Możesz użyć interfejsu standardowego lub nowego interfejsu AWS WAF:

Przejdź do konsoli AWS
Otwórz AWS WAF. W lewym menu kliknij Try the new experience (jeśli jest oferowane).

Krok 3. Utwórz pakiet ochrony (web ACL)

To jest zestaw reguł ochrony dla Twojego zasobu.

W menu po lewej wybierz: Resources & protection packs (Web ACLs)
Kliknij Add protection pack (web ACL).

Krok 4. Skonfiguruj kategorię aplikacji:

W bloku Tell us about your app:

App category — wybierz Web / API / Both
Traffic source — skąd pochodzi ruch (web, API lub oba)

Te parametry są potrzebne, aby AWS zaproponował optymalne reguły.

Krok 5. Wybierz zasoby, które będą chronione

Kliknij Add resources
Wybierz, co podłączasz:

Jeśli Twoja strona jest na CloudFront > wybierz CloudFront distributions
Jeśli Twój backend jest na ALB > wybierz Regional resources
Jeśli API > wybierz API Gateway REST API
Zaznacz odpowiedni zasób > kliknij Add.

Krok 6. Wybierz początkowy zestaw reguł.

AWS zaproponuje:

Recommended for you — najlepsza opcja dla początkujących

Zawiera on:

podstawową ochronę
reguły przeciwko SQLi i XSS
IP reputation lists (listy reputacji IP)
Bot Control (opcjonalnie)
reguły dla web/API

Kliknij Next.

Krok 7. Konfiguracja (opcjonalnie)

Na ekranie Customize protection pack (web ACL):

Główne parametry:

Default action:
- Allow all except blocked — zazwyczaj wybiera się to
- Block all except allowed — jeśli strona jest zamknięta
Default rate limits: Ograniczenie liczby zapytań (DDoS L7 mitigation)
IP addresses: Białe/czarne listy
Country specific origins: Ograniczenie ruchu według krajów

Logowanie (Logging)

Wybierz, gdzie zapisywać logi:

CloudWatch
S3
Firehose

(zalecane S3 + Athena).

Krok 8. Utwórz Web ACL

Kliknij: Add protection pack (web ACL)

AWS utworzy reguły i powiąże je z Twoim zasobem.

Weryfikacja

Aby upewnić się, że ochrona działa:

Otwórz WAF > wybierz swój web ACL
Przejdź do Monitoring
Zobacz:
- wykresy ruchu
- zablokowane zapytania
- przykładowe zapytania (sample requests)

Dodatkowo (opcjonalnie)

Włącz CAPTCHA lub Challenge
W dowolnej regule > Action > CAPTCHA / Challenge
Zmniejsza to ruch botów i chroni strony logowania oraz formularzy.
Dodaj Managed Rule Groups
W sekcji Rule groups możesz dodać:
- AWS Managed
- Bot Control
- Account takeover prevention
- Marketplace rules (F5, Imperva, Fortinet)
Połącz z Shield Advanced. Dla ochrony przed DDoS (L3–L7).

Możliwe błędy i debugowanie

Nieprawidłowa domena lub reguła — Challenge się nie wyświetla

Sprawdź, czy AWS WAF WebACL jest przypisany do właściwej domeny (CloudFront Distribution / ALB / API Gateway), poprawnej ścieżki i czy nie ma konfliktów między regułami.

Limit czasu ładowania strony lub weryfikacji

Czasami przeglądarka lub skrypt nie czeka na odpowiedź AWS WAF. Zwiększ limity czasu (timeout) w testach i upewnij się, że backend przetwarza żądania bez opóźnień.

Przeterminowane pliki cookie AWS WAF

Przestarzałe _aws_waf_token_… lub powiązane znaczniki plików cookie prowadzą do ponownego wyzwania (Challenge) lub tymczasowej blokady.

Zbyt czułe reguły

Zbyt rygorystyczne sygnatury Bot Control, reguły CAPTCHA lub reguły oparte na częstotliwości (Rate-based) mogą blokować prawdziwych użytkowników.

Nieprawidłowa konfiguracja WebACL

Błędy w kolejności reguł, priorytetach lub warunkach mogą prowadzić do fałszywych alarmów (false positives) i blokad.

Sprawdzenie odporności ochrony

Po integracji upewnij się, że system faktycznie chroni stronę przed automatycznymi działaniami.

Wykonaj zapytanie bez plików cookie AWS WAF. Powinna zadziałać odpowiednia reguła w zależności od konfiguracji.

Sprawdź ponowne wejście z ważnymi plikami cookie. Użytkownik powinien przejść bez ponownych sprawdzeń, jeśli polityka WAF dopuszcza ruch, a znaczniki są poprawne.

Przeprowadź testy obciążeniowe (k6/JMeter). WebACL powinien stabilnie przetwarzać dużą liczbę zapytań bez błędów 500/503 ze strony chronionego zasobu.

Sprawdź zachowanie z przeterminowanymi lub nieprawidłowymi plikami cookie. Oczekiwanie — ponowny Challenge lub zastosowanie skonfigurowanej reguły Block/Challenge.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

Skonfiguruj WebACL zgodnie z poziomem ryzyka. Używaj Managed Rules (AWS, AWS Marketplace), AWS Bot Control i niestandardowych reguł opartych na reputacji IP, nagłówkach, limitach częstotliwości i innych warunkach.

Skonfiguruj WebACL zgodnie z poziomem ryzyka. Używaj Managed Rules (AWS, AWS Marketplace), AWS Bot Control i niestandardowych reguł opartych na reputacji IP, nagłówkach, limitach częstotliwości i innych warunkach.

Loguj zdarzenia WAF. Włącz <a href="https://docs.aws.amazon.com/waf/latest/developerguide/logging.html" target="_blank">AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs)</a> do analizy fałszywych alarmów i optymalizacji reguł.

Loguj zdarzenia WAF. Włącz AWS WAF Logging (Kinesis Firehose / S3 / CloudWatch Logs) do analizy fałszywych alarmów i optymalizacji reguł.

Dodaj linki do <b>Polityki prywatności</b> i <b>Warunków użytkowania</b>. Jest to ważne dla przejrzystości i zgodności z wymogami bezpieczeństwa oraz oczekiwaniami użytkowników.

Dodaj linki do Polityki prywatności i Warunków użytkowania. Jest to ważne dla przejrzystości i zgodności z wymogami bezpieczeństwa oraz oczekiwaniami użytkowników.

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku Amazon AWS WAF wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować Amazon AWS WAF oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Dokumentacja AWS WAF →

Dokumentacja CapMonster Cloud (praca z AWS WAF) →

Przegląd ochrony zasobów internetowych za pomocą AWS WAF →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

Amazon AWS WAF i CapMonster Cloud

Jak rozwiązać AWS WAF za pomocą CapMonster Cloud

Dodatkowo (opcjonalnie)

Amazon AWS WAF
i CapMonster Cloud