Rozszerzenie do przeglądarek

Dla firm

Ceny

Blogu

Dokumentacja

Polski

Imperva Incapsula
i CapMonster Cloud

Rozwiązywanie captcha, instalacja na stronie i testowanie.

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest Imperva Incapsula, kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu Imperva Incapsula, aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest Incapsula

Imperva Incapsula Web Protection to oparty na chmurze system ochrony stron internetowych i aplikacji przed zagrożeniami zewnętrznymi. System wykorzystuje bezpieczne odwrotne serwery proxy (reverse proxies) oraz zaporę aplikacji internetowych (WAF), rozmieszczone na całym świecie na serwerach CDN. Ruch na stronie jest kierowany przez bezpieczne serwery Imperva, co pozwala na sprawdzanie każdego żądania i filtrowanie szkodliwych działań.

Jak rozwiązać Incapsula przez CapMonster Cloud

Podczas testowania stron chronionych przez Imperva Incapsula często zachodzi potrzeba upewnienia się, że ochrona działa poprawnie, a system właściwie filtruje podejrzany ruch.

Możesz ręcznie sprawdzić działanie ochrony na swojej stronie:

Otwórz wybraną stronę i upewnij się, że Incapsula wyświetla weryfikację.
Spróbuj wejść bez ukończenia weryfikacji — strona powinna zwrócić błąd 405 lub dodatkowe wyzwanie (challenge).
Po przejściu weryfikacji dostęp powinien zostać otwarty bez błędów.

Do automatyzacji takich sprawdzeń można użyć usług takich jak CapMonster Cloud.

CapMonster przyjmuje parametry wyzwania Imperva (np. plik cookie _incap_, dane z HTML i skryptów), przetwarza je u siebie i zwraca gotowe ważne pliki cookie, które można wstawić do przeglądarki lub klienta HTTP.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie przekazujesz swój klucz API, typ captcha i jego parametry. Usługa zwraca unikalny taskId, za pomocą którego później można uzyskać wynik.

Wysyłanie żądania API

W zapytaniu o rozwiązanie Incapsula należy podać następujące parametry:

type - CustomTask;

class - Imperva;

websiteURL - adres strony głównej, na której znajduje się Incapsula;

incapsulaScriptUrl (wewnątrz metadanych) - "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3" — nazwa pliku js Incapsula;

incapsulaCookies (wewnątrz metadanych) - Twoje pliki cookie z Incapsula. Można je uzyskać na stronie za pomocą document.cookie lub w nagłówku odpowiedzi Set-Cookie: "incap_sess_*=...; visid_incap_*=..." (zobacz przykład zapytania /createTask);

reese84UrlEndpoint (wewnątrz metadanych) - nazwa punktu końcowego (endpoint), do którego wysyłany jest fingerprint reese84;

userAgent - User-Agent przeglądarki. Przekazuj tylko aktualny UA z systemu Windows;

Do tego zadania wymagane jest również użycie własnych serwerów proxy:

proxyType :

http - zwykłe proxy HTTP/HTTPS;
https - wypróbuj tę opcję, jeśli „http” nie działa (wymagane dla niektórych niestandardowych proxy);
socks4 - proxy typu SOCKS4;
socks5 - proxy typu SOCKS5;

proxyAddress - Adres IP proxy IPv4/IPv6;

proxyPort - port proxy;

proxyLogin - login serwera proxy;

proxyPassword - hasło serwera proxy.

Więcej o parametrach i ich automatycznym pozyskiwaniu znajdziesz w dokumentacji CapMonster Cloud.

Adres do wysyłania zadań:

https://api.capmonster.cloud/createTask

Przykład żądania:

{
 "clientKey": "API_KEY",
 "task": {
   "type": "CustomTask",
   "class": "Imperva",
   "websiteURL": "https://example.com",
   "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
   "metadata": {
     "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3",
     "incapsulaCookies": "incap_ses_1166_2930313=br7iX33ZNCtf3HlpEXcuEDzz72cAAAAA0suDnBGrq/iA0J4oERYzjQ==; visid_incap_2930313=P3hgPVm9S8Oond1L0sXhZqfK72cAAAAAQUIPAAAAAABoMSY9xZ34RvRseJRiY6s+;",
     "reese84UrlEndpoint": "Built-with-the-For-hopence-Hurleysurfecting-the-"
   },
   "proxyType": "http",
   "proxyAddress": "8.8.8.8",
   "proxyPort": 8080,
   "proxyLogin": "proxyLoginHere",
   "proxyPassword": "proxyPasswordHere"
 }
}

Odpowiedź:

{
  "errorId":0,
  "taskId":407533072
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"domains": {
			"https://example.com": {
				"cookies": {
					"___utmvc": "NMB+nRa4inxXNeXuh...MWIwNmU3MQ==; Max-Age=31536000; Domain=.site.com; Path=/; Secure; SameSite=Lax"
				}
			}
		}
	}
}

Wstawianie plików cookie Incapsula na stronę

Dane otrzymane od CapMonster Cloud (ważne pliki cookie Incapsula) można wstawić do kontekstu przeglądarki lub klienta HTTP. Po tym strona rozpoznaje żądanie jako zweryfikowane i przepuszcza użytkownika bez dodatkowych wyzwań.

Do automatyzacji i testowania wygodnie jest używać Puppeteer, Selenium lub Playwright — pozwalają one na:

załadowanie strony chronionej przez Incapsula;
wstawienie otrzymanych plików cookie do kontekstu przeglądarki;
odświeżenie strony już z ważną sesją;
wykonanie dalszych działań (wysłanie formularza, przejście pod linki itp.).

W ten sposób można sprawdzić poprawność ochrony i upewnić się, że strona prawidłowo obsługuje ważne sesje Incapsula.

Rozpoznawanie Imperva Incapsula przy użyciu gotowych bibliotek

Usługa CapMonster Cloud udostępnia gotowe biblioteki do wygodnej pracy w językach Python i JavaScript (Node.js).

Python

JavaScript

Rozwiązanie, pobranie parametrów i ustawienie plików cookie

Przykład w Node.js dla pełnego cyklu rozpoznawania captcha na Twojej stronie internetowej. Możliwe podejścia: użycie zapytań HTTP do pobrania HTML i parametrów systemu ochrony, wysłanie odpowiedzi i przetworzenie wyniku. Lub za pomocą narzędzi do automatyzacji (np. Playwright) — otwarcie strony, oczekiwanie na weryfikację, wysłanie parametrów przez klienta CapMonster Cloud, odebranie wyniku, wstawienie plików cookie do przeglądarki (do testów można użyć zarówno poprawnych, jak i niepoprawnych danych) i zobaczenie wyniku.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, ImpervaRequest } from '@zennolab_com/capmonstercloud-client';

async function main() {
    // 1) Ustawienia
    const TARGET_URL = "https://example.com";
    const API_KEY = "YOUR_CAPMONSTER_API_KEY";

    const proxy = {
        proxyType: "http",
        proxyAddress: "PROXY_IP",
        proxyPort: 8080,
        proxyLogin: "PROXY_USER",
        proxyPassword: "PROXY_PASS"
    };

    // 2) Otwieramy stronę i zbieramy pliki cookie Imperva
    const browser = await chromium.launch({
        headless: true,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(TARGET_URL, { waitUntil: "networkidle" });

    const cookies = await page.context().cookies();
    const impervaCookiesString = cookies
        .filter(c => c.name.startsWith("visid_incap_") || c.name.startsWith("incap_ses_"))
        .map(c => `${c.name}=${c.value}`)
        .join("; ");

    console.log("Pliki cookie Imperva z bieżącej strony:", impervaCookiesString);

    await browser.close();

    // 3) Rozwiązujemy wyzwanie (challenge) Imperva
    const cmcClient = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const impervaRequest = new ImpervaRequest({
        websiteURL: TARGET_URL,
        userAgent: "USER_AGENT_STRING",
        metadata: {
            incapsulaScriptUrl: "_Incapsula_Resource?example_param",
            incapsulaCookies: impervaCookiesString
        },
        proxy
    });

    const result = await cmcClient.Solve(impervaRequest);
    console.log("Rozwiązanie:", result);

    // 4) Podstawiamy otrzymane pliki cookie
    const domain = new URL(TARGET_URL).hostname;
    const solutionCookiesObj = result.solution.domains[domain].cookies;

    const solutionCookies = Object.entries(solutionCookiesObj).map(([name, value]) => ({
        name,
        value,
        domain: ".your-domain",
        path: "/",
        secure: true,
        httpOnly: false
    }));

    // 5) Ustawienie plików cookie i otwarcie strony
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const context2 = await browser2.newContext();
    await context2.addCookies(solutionCookies);

    const page2 = await context2.newPage();
    const resp2 = await page2.goto(TARGET_URL, { waitUntil: "networkidle" });

    // Wyświetlenie statusu strony końcowej (opcjonalnie)
    // console.log("Status strony końcowej po ustawieniu plików cookie:", resp2?.status());

    // …lub końcowy zrzut ekranu
    // await page2.screenshot({ path: "final_page.png" });

    console.log("Strona załadowana z zastosowanymi plikami cookie Imperva.");
}

main().catch(console.error);

Istnieje również świetna możliwość przetestowania rozpoznawania captcha za pomocą rozszerzenia przeglądarki CapMonster Cloud, które pozwala szybko sprawdzić działanie captcha bezpośrednio na stronie i śledzić proces rozwiązywania w czasie rzeczywistym bez pisania kodu – dostępne do instalacji w Chrome i Firefox.

Jak podłączyć Imperva Incapsula do swojej strony

Aby pewnie orientować się w działaniu captcha na Twojej stronie, zrozumieć logikę jej weryfikacji, ponownie podłączyć lub skonfigurować ochronę, zalecamy zapoznanie się z tą sekcją. Opisano w niej proces podłączania ochrony — pomoże to szybko zrozumieć wszystkie niuanse.

1. Utwórz konto (do rejestracji użyj służbowego adresu e-mail) i przejdź do Imperva Cloud Security Console.

2. Potwierdź adres e-mail. Po zalogowaniu trafisz do panelu sterowania (więcej o pracy z Security Console możesz dowiedzieć się w dokumentacji).

3. Otwórz sekcję Websites i wprowadź rzeczywistą domenę swojej strony.

Ważne: Nie używaj localhost, 127.0.0.1, domen typu .test i innych nieistniejących adresów.

HowTo Connect image 1

Imperva automatycznie:

wykryje Twojego dostawcę DNS,
sprawdzi SSL,
rozpocznie skanowanie rekordów DNS.

4. Skonfiguruj rekordy DNS. Jeśli Imperva pokaże krok:

Point dev.mysite.com DNS records to Imperva

Wykonaj następujące czynności:

Wejdź do panelu DNS swojego rejestratora lub hostingu.
Utwórz lub zaktualizuj rekord:


Typ: CNAME
Nazwa: dev (podłączana subdomena)
Wartość: <twoj_host_imperva>.ng.impervadns.net

Przykład:

dev.mysite.com > CNAME > xivaxeo.ng.impervadns.net

Ważne: Nie używaj rekordów A/AAAA — Imperva wymaga CNAME dla subdomen.

Opcjonalnie: włącz obsługę klientów Non-SNI

Jeśli Imperva pokaże powiadomienie:

If you expect Non-SNI traffic…

Dotyczy to przestarzałych klientów i specyficznych integracji. Jeśli Twoja strona jest standardowa, ten krok można pominąć.

Jeśli to konieczne, włącz:

CDN > Delivery > Support Non-SNI clients

5. Poczekaj na weryfikację DNS. Imperva aktywuje ochronę i SSL.

Gdy DNS się połączy, Imperva automatycznie:

wdroży CDN,
aktywuje WAF (Web Application Firewall),
utworzy certyfikat HTTPS,
włączy ochronę przed DDoS i botami.

6. Ogranicz bezpośredni dostęp do swojego serwera (zalecane)

Aby ruch przechodził tylko przez Imperva, na swoim serwerze powinieneś:

zezwolić na dostęp tylko z adresów IP Imperva,
zablokować bezpośrednie połączenia (oprócz własnych IP),

Więcej szczegółów znajdziesz w sekcji Create Rules.

7. Sprawdź działanie strony. Po aktywacji

otwórz swoją subdomenę/domenę w przeglądarce,
lub użyj curl:

curl -I https://dev.mysite.com

W nagłówkach powinny pojawić się wiersze typu:


HTTP/1.1 403 Forbidden
Content-Type: text/html
Cache-Control: no-cache, no-store
Connection: close
Content-Length: 1234
X-Iinfo: 00-00000000-0 0NNN RT(1234567890 0) q(0 -1 -1 1) r(0 -1) B16(0,0,0) U24
Strict-Transport-Security: max-age=31536000
Set-Cookie: visid_incap_00000000000000000000000000000000=ABCDEFG1234567890TESTCOOKIE; expires=Wed, 11 Nov 2026 23:41:40 GMT; HttpOnly; path=/; Domain=.example.com; Secure; SameSite=None
Set-Cookie: incap_ses_0000_00000000=TESTSESSION1234567890; path=/; Domain=.example.com; Secure; SameSite=None

Oznacza to, że ruch przechodzi przez Imperva.

Możliwe błędy i debugowanie

Nieprawidłowa domena lub reguła — Challenge się nie wyświetla.

Sprawdź, czy Security Rule jest przypisana do właściwej domeny i ścieżki oraz czy nie ma konfliktów z IncapRules lub ACL.

Przekroczenie limitu czasu (timeout) ładowania strony lub weryfikacji.

Przeglądarka może nie doczekać się odpowiedzi Imperva. Zwiększ limity czasu w testach i upewnij się, że backend odpowiada wystarczająco szybko.

Wygasłe pliki cookie Imperva.

Przestarzałe wartości visid_incap, incap_ses, nlbi powodują ponowny Challenge lub blokadę.

Zbyt czułe reguły.

Rygorystyczne sygnatury mogą blokować rzeczywistych odwiedzających Twoją stronę.

Nieprawidłowa konfiguracja.

Błędne ustawienia lub reguły nie uwzględniające specyfiki strony powodują błędne blokady i fałszywe alarmy (false positives).

Sprawdzenie odporności ochrony

Po integracji upewnij się, że system faktycznie chroni stronę przed automatycznymi działaniami.

Wykonaj zapytanie bez plików cookie Imperva. Powinna zadziałać reguła WAF (np. blokada lub dodatkowa weryfikacja zgodnie z polityką).

Sprawdź ponowne wejście z ważnymi plikami cookie. Użytkownik powinien przejść bez ponownych sprawdzeń, jeśli WAF dopuszcza ten ruch.

Przeprowadź testy obciążeniowe (k6/JMeter). WAF powinien stabilnie przetwarzać dużą liczbę zapytań i nie zwracać błędów 500/503.

Sprawdź zachowanie z wygasłymi lub nieprawidłowymi plikami cookie. Oczekiwany wynik to ponowna weryfikacja lub zastosowanie skonfigurowanej reguły WAF.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

Skonfiguruj WAF i Polityki Bezpieczeństwa zgodnie z poziomem ryzyka. Używaj Managed Rules, Bot Protection i niestandardowych reguł dla bardziej precyzyjnej kontroli.

Skonfiguruj WAF i Polityki Bezpieczeństwa zgodnie z poziomem ryzyka. Używaj Managed Rules, Bot Protection i niestandardowych reguł dla bardziej precyzyjnej kontroli.

Loguj zdarzenia bezpieczeństwa i uruchomienia WAF, aby identyfikować fałszywe alarmy i analizować przyczyny blokad.

Loguj zdarzenia bezpieczeństwa i uruchomienia WAF, aby identyfikować fałszywe alarmy i analizować przyczyny blokad.

Dla przejrzystości dodaj linki do <b>Polityki prywatności</b> i <b>Warunków użytkowania</b>. Jest to ważne dla przejrzystości i zgodności z wymogami bezpieczeństwa.

Dla przejrzystości dodaj linki do Polityki prywatności i Warunków użytkowania. Jest to ważne dla przejrzystości i zgodności z wymogami bezpieczeństwa.

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku Imperva Incapsula wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować Imperva Incapsula oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Dokumentacja Imperva Incapsula →

Logowanie do Cloud Security Console →

Dokumentacja CapMonster Cloud (praca z Imperva Incapsula) →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

Imperva Incapsula i CapMonster Cloud

Imperva Incapsula
i CapMonster Cloud