Loading...
Cennik rozwiązania Imperva Incapsula
Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.
W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.
Jeśli okaże się, że na Twojej stronie używany jest Imperva Incapsula, kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu Imperva Incapsula, aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.
Czym jest Incapsula
Imperva Incapsula Web Protection to oparty na chmurze system ochrony stron internetowych i aplikacji przed zagrożeniami zewnętrznymi. System wykorzystuje bezpieczne odwrotne serwery proxy (reverse proxies) oraz zaporę aplikacji internetowych (WAF), rozmieszczone na całym świecie na serwerach CDN. Ruch na stronie jest kierowany przez bezpieczne serwery Imperva, co pozwala na sprawdzanie każdego żądania i filtrowanie szkodliwych działań.
Jak rozwiązać Incapsula przez CapMonster Cloud
Podczas testowania stron chronionych przez Imperva Incapsula często zachodzi potrzeba upewnienia się, że ochrona działa poprawnie, a system właściwie filtruje podejrzany ruch.
Możesz ręcznie sprawdzić działanie ochrony na swojej stronie:
- Otwórz wybraną stronę i upewnij się, że Incapsula wyświetla weryfikację.
- Spróbuj wejść bez ukończenia weryfikacji — strona powinna zwrócić błąd 405 lub dodatkowe wyzwanie (challenge).
- Po przejściu weryfikacji dostęp powinien zostać otwarty bez błędów.
Do automatyzacji takich sprawdzeń można użyć usług takich jak CapMonster Cloud.
CapMonster przyjmuje parametry wyzwania Imperva (np. plik cookie _incap_, dane z HTML i skryptów), przetwarza je u siebie i zwraca gotowe ważne pliki cookie, które można wstawić do przeglądarki lub klienta HTTP.
Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:
Tworzenie zadania
Na tym etapie przekazujesz swój klucz API, typ captcha i jego parametry. Usługa zwraca unikalny taskId, za pomocą którego później można uzyskać wynik.
Wysyłanie żądania APIW zapytaniu o rozwiązanie Incapsula należy podać następujące parametry:
type - CustomTask;
class - Imperva;
websiteURL - adres strony głównej, na której znajduje się Incapsula;
incapsulaScriptUrl (wewnątrz metadanych) - "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3" — nazwa pliku js Incapsula;
incapsulaCookies (wewnątrz metadanych) - Twoje pliki cookie z Incapsula. Można je uzyskać na stronie za pomocą document.cookie lub w nagłówku odpowiedzi Set-Cookie: "incap_sess_*=...; visid_incap_*=..." (zobacz przykład zapytania /createTask);
reese84UrlEndpoint (wewnątrz metadanych) - nazwa punktu końcowego (endpoint), do którego wysyłany jest fingerprint reese84;
userAgent -
Rozpoznawanie Imperva Incapsula przy użyciu gotowych bibliotek
Usługa CapMonster Cloud udostępnia gotowe biblioteki do wygodnej pracy w językach Python i JavaScript (Node.js).
Python
JavaScript
Jak podłączyć Imperva Incapsula do swojej strony
Aby pewnie orientować się w działaniu captcha na Twojej stronie, zrozumieć logikę jej weryfikacji, ponownie podłączyć lub skonfigurować ochronę, zalecamy zapoznanie się z tą sekcją. Opisano w niej proces podłączania ochrony — pomoże to szybko zrozumieć wszystkie niuanse.
1. Utwórz konto (do rejestracji użyj służbowego adresu e-mail) i przejdź do Imperva Cloud Security Console.
2. Potwierdź adres e-mail. Po zalogowaniu trafisz do panelu sterowania (więcej o pracy z Security Console możesz dowiedzieć się w dokumentacji).
3. Otwórz sekcję Websites i wprowadź rzeczywistą domenę swojej strony.
Ważne: Nie używaj localhost, 127.0.0.1, domen typu .test i innych nieistniejących adresów.
Imperva automatycznie:
- wykryje Twojego dostawcę DNS,
- sprawdzi SSL,
- rozpocznie skanowanie rekordów DNS.
4. Skonfiguruj rekordy DNS. Jeśli Imperva pokaże krok:
Point dev.mysite.com DNS records to ImpervaWykonaj następujące czynności:
- Wejdź do panelu DNS swojego rejestratora lub hostingu.
- Utwórz lub zaktualizuj rekord:
Typ: CNAME
Nazwa: dev (podłączana subdomena)
Wartość: <twoj_host_imperva>.ng.impervadns.net
Przykład:
dev.mysite.com > CNAME > xivaxeo.ng.impervadns.net
Możliwe błędy i debugowanie
Nieprawidłowa domena lub reguła — Challenge się nie wyświetla.
Sprawdź, czy Security Rule jest przypisana do właściwej domeny i ścieżki oraz czy nie ma konfliktów z IncapRules lub ACL.
Przekroczenie limitu czasu (timeout) ładowania strony lub weryfikacji.
Przeglądarka może nie doczekać się odpowiedzi Imperva. Zwiększ limity czasu w testach i upewnij się, że backend odpowiada wystarczająco szybko.
Wygasłe pliki cookie Imperva.
Przestarzałe wartości visid_incap, incap_ses, nlbi powodują ponowny Challenge lub blokadę.
Zbyt czułe reguły.
Rygorystyczne sygnatury mogą blokować rzeczywistych odwiedzających Twoją stronę.
Nieprawidłowa konfiguracja.
Błędne ustawienia lub reguły nie uwzględniające specyfiki strony powodują błędne blokady i fałszywe alarmy (false positives).
Sprawdzenie odporności ochrony
Po integracji upewnij się, że system faktycznie chroni stronę przed automatycznymi działaniami.
Wykonaj zapytanie bez plików cookie Imperva. Powinna zadziałać reguła WAF (np. blokada lub dodatkowa weryfikacja zgodnie z polityką).
Sprawdź ponowne wejście z ważnymi plikami cookie. Użytkownik powinien przejść bez ponownych sprawdzeń, jeśli WAF dopuszcza ten ruch.
Przeprowadź testy obciążeniowe (k6/JMeter). WAF powinien stabilnie przetwarzać dużą liczbę zapytań i nie zwracać błędów 500/503.
Sprawdź zachowanie z wygasłymi lub nieprawidłowymi plikami cookie. Oczekiwany wynik to ponowna weryfikacja lub zastosowanie skonfigurowanej reguły WAF.
Rekomendacje dotyczące bezpieczeństwa i optymalizacji
Skonfiguruj WAF i Polityki Bezpieczeństwa zgodnie z poziomem ryzyka. Używaj Managed Rules, Bot Protection i niestandardowych reguł dla bardziej precyzyjnej kontroli.
Loguj zdarzenia bezpieczeństwa i uruchomienia WAF, aby identyfikować fałszywe alarmy i analizować przyczyny blokad.
Dla przejrzystości dodaj linki do Polityki prywatności i Warunków użytkowania. Jest to ważne dla przejrzystości i zgodności z wymogami bezpieczeństwa.
Obsługiwane captchas
reCAPTCHA v2
GeeTest
Cloudflare Turnstile
DataDomeWnioski
Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.
W przypadku Imperva Incapsula wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować Imperva Incapsula oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.
Amazon Waf
Faucet Pay
Prosopo
Text CAPTCHA
Yidun
MTCaptcha
Altcha
Funcaptcha
TSPD
Hunt
Alibaba
Friendly