Tiện ích mở rộng cho trình duyệt

Cho doanh nghiệp

Giá cả

Blog

Tài liệu

Tiếng Việt

Imperva Incapsula
và CapMonster Cloud

Giải quyết captcha, cài đặt trên trang web và kiểm thử.

Bạn nhận lại một website đã có captcha hoặc lớp bảo vệ khác nhưng không có quyền truy cập mã nguồn? Khi đó điều bạn cần biết là giải pháp nào đang chạy, cấu hình có đúng không và cách kiểm tra như thế nào.

Trong bài viết này, chúng tôi đã cố gắng trả lời tất cả những câu hỏi quan trọng. Bước đầu tiên để bắt đầu giải quyết vấn đề là xác định hệ thống bảo mật nào đang được sử dụng. Để làm điều đó, bạn có thể tham khảo danh sách các captcha và hệ thống chống bot phổ biến, trong đó có các ví dụ minh họa và những dấu hiệu chính giúp bạn nhanh chóng nhận biết mình đang làm việc với giải pháp nào.

Nếu bạn phát hiện trang web của mình đang sử dụng Imperva Incapsula, bước tiếp theo là tìm hiểu chi tiết hơn về các đặc tính và cách hoạt động của nó. Ngay trong bài viết này, bạn cũng có thể xem hướng dẫn tích hợp hệ thống Imperva Incapsula để hiểu đầy đủ cách nó vận hành trên trang web của bạn. Điều đó giúp bạn không chỉ nắm rõ lớp bảo vệ hiện tại mà còn lập kế hoạch bảo trì một cách hợp lý.

Incapsula là gì

Imperva Incapsula Web Protection là hệ thống bảo vệ trang web và ứng dụng dựa trên đám mây chống lại các mối đe dọa bên ngoài. Hệ thống sử dụng các proxy ngược (reverse proxies) an toàn và Tường lửa ứng dụng web (WAF), được đặt trên toàn thế giới tại các máy chủ CDN. Trang web được điều hướng qua các máy chủ bảo mật của Imperva, cho phép kiểm tra từng yêu cầu và lọc các hoạt động độc hại.

Cách giải Incapsula thông qua CapMonster Cloud

Khi kiểm thử các trang được bảo vệ bởi Imperva Incapsula, thường cần phải đảm bảo rằng lớp bảo vệ đang hoạt động chính xác và hệ thống đang lọc đúng lưu lượng truy cập đáng ngờ.

Bạn có thể kiểm tra thủ công hoạt động của lớp bảo vệ trên trang web của mình:

Mở trang mong muốn và đảm bảo rằng Incapsula đưa ra yêu cầu kiểm tra.
Thử truy cập mà không hoàn thành kiểm tra — trang web sẽ trả về lỗi 405 hoặc một thử thách (challenge) bổ sung.
Sau khi vượt qua kiểm tra, quyền truy cập sẽ được mở mà không có lỗi.

Để tự động hóa các kiểm tra như vậy, bạn có thể sử dụng các dịch vụ như CapMonster Cloud.

CapMonster chấp nhận các tham số thử thách của Imperva (ví dụ: cookie _incap_, dữ liệu từ HTML và tập lệnh), xử lý chúng và trả về cookie hợp lệ đã sẵn sàng, có thể được chèn vào trình duyệt hoặc ứng dụng khách HTTP (HTTP client).

Làm việc với CapMonster Cloud qua API thường gồm các bước:

Tạo nhiệm vụ

Ở giai đoạn này, bạn truyền khóa API, loại captcha và các tham số của nó. Dịch vụ trả về một taskId duy nhất, dùng để lấy kết quả sau này.

Gửi yêu cầu API

Trong yêu cầu giải Incapsula, cần chỉ định các tham số sau:

type - CustomTask;

class - Imperva;

websiteURL - địa chỉ của trang chính nơi đặt Incapsula;

incapsulaScriptUrl (trong metadata) - "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3" — tên file js của Incapsula;

incapsulaCookies (trong metadata) - cookie của bạn từ Incapsula. Có thể lấy trên trang bằng document.cookie hoặc trong tiêu đề yêu cầu Set-Cookie: "incap_sess_*=...; visid_incap_*=..." (xem ví dụ yêu cầu /createTask);

reese84UrlEndpoint (trong metadata) - tên của điểm cuối (endpoint) nơi gửi reese84 fingerprint;

userAgent - User-Agent của trình duyệt. Chỉ gửi UA thực tế từ hệ điều hành Windows;

Ngoài ra, đối với tác vụ này, việc sử dụng proxy của riêng bạn là bắt buộc:

proxyType :

http - proxy HTTP/HTTPS thông thường;
https - hãy thử tùy chọn này nếu "http" không hoạt động (bắt buộc đối với một số proxy tùy chỉnh);
socks4 - proxy loại SOCKS4;
socks5 - proxy loại SOCKS5;

proxyAddress - Địa chỉ IP proxy IPv4/IPv6;

proxyPort - cổng (port) proxy;

proxyLogin - tên đăng nhập máy chủ proxy;

proxyPassword - mật khẩu máy chủ proxy.

Chi tiết về các tham số và cách thu thập tự động có trong tài liệu CapMonster Cloud.

Địa chỉ gửi nhiệm vụ:

https://api.capmonster.cloud/createTask

Ví dụ yêu cầu:

{
 "clientKey": "API_KEY",
 "task": {
   "type": "CustomTask",
   "class": "Imperva",
   "websiteURL": "https://example.com",
   "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
   "metadata": {
     "incapsulaScriptUrl": "_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3",
     "incapsulaCookies": "incap_ses_1166_2930313=br7iX33ZNCtf3HlpEXcuEDzz72cAAAAA0suDnBGrq/iA0J4oERYzjQ==; visid_incap_2930313=P3hgPVm9S8Oond1L0sXhZqfK72cAAAAAQUIPAAAAAABoMSY9xZ34RvRseJRiY6s+;",
     "reese84UrlEndpoint": "Built-with-the-For-hopence-Hurleysurfecting-the-"
   },
   "proxyType": "http",
   "proxyAddress": "8.8.8.8",
   "proxyPort": 8080,
   "proxyLogin": "proxyLoginHere",
   "proxyPassword": "proxyPasswordHere"
 }
}

Phản hồi:

{
  "errorId":0,
  "taskId":407533072
}

Nhận kết quả

Sau khi tạo nhiệm vụ, hãy kiểm tra định kỳ trạng thái giải.

Địa chỉ để nhận kết quả:

https://api.capmonster.cloud/getTaskResult

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Phản hồi:

{
	"errorId":0,
	"status":"ready",
	"solution": {
		"domains": {
			"https://example.com": {
				"cookies": {
					"___utmvc": "NMB+nRa4inxXNeXuh...MWIwNmU3MQ==; Max-Age=31536000; Domain=.site.com; Path=/; Secure; SameSite=Lax"
				}
			}
		}
	}
}

Chèn cookie Incapsula vào trang

Dữ liệu nhận được từ CapMonster Cloud (cookie Incapsula hợp lệ) có thể được đưa vào ngữ cảnh trình duyệt hoặc ứng dụng khách HTTP. Sau đó, trang web nhận ra yêu cầu là đã được xác minh và cho phép người dùng đi qua mà không cần thêm thử thách nào.

Để tự động hóa và kiểm thử, rất thuận tiện khi sử dụng Puppeteer, Selenium hoặc Playwright — chúng cho phép:

tải trang được bảo vệ bởi Incapsula;
chèn cookie nhận được vào ngữ cảnh trình duyệt;
làm mới trang với phiên làm việc (session) hợp lệ;
thực hiện các hành động tiếp theo (gửi biểu mẫu, truy cập liên kết, v.v.).

Bằng cách này, bạn có thể kiểm tra tính chính xác của lớp bảo vệ và đảm bảo rằng trang web xử lý đúng các phiên Incapsula hợp lệ.

Nhận dạng Imperva Incapsula sử dụng các thư viện có sẵn

Dịch vụ CapMonster Cloud cung cấp các thư viện sẵn có để làm việc thuận tiện trên các ngôn ngữ Python và JavaScript (Node.js).

Python

JavaScript

Giải pháp, lấy tham số và thiết lập cookie

Ví dụ trên Node.js cho chu trình nhận dạng captcha đầy đủ trên trang web của bạn. Các phương pháp tiếp cận khả thi: sử dụng các yêu cầu HTTP để lấy HTML và các tham số của hệ thống bảo vệ, gửi phản hồi và xử lý kết quả. Hoặc sử dụng các công cụ tự động hóa (ví dụ: Playwright) — mở trang, đợi kiểm tra, gửi tham số qua ứng dụng khách CapMonster Cloud, nhận kết quả, chèn cookie vào trình duyệt (để kiểm thử, bạn có thể sử dụng cả dữ liệu đúng và sai) và xem kết quả.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, ImpervaRequest } from '@zennolab_com/capmonstercloud-client';

async function main() {
    // 1) Cài đặt
    const TARGET_URL = "https://example.com";
    const API_KEY = "YOUR_CAPMONSTER_API_KEY";

    const proxy = {
        proxyType: "http",
        proxyAddress: "PROXY_IP",
        proxyPort: 8080,
        proxyLogin: "PROXY_USER",
        proxyPassword: "PROXY_PASS"
    };

    // 2) Mở trang web và thu thập cookie Imperva
    const browser = await chromium.launch({
        headless: true,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const page = await browser.newPage();
    await page.goto(TARGET_URL, { waitUntil: "networkidle" });

    const cookies = await page.context().cookies();
    const impervaCookiesString = cookies
        .filter(c => c.name.startsWith("visid_incap_") || c.name.startsWith("incap_ses_"))
        .map(c => `${c.name}=${c.value}`)
        .join("; ");

    console.log("Cookie Imperva từ trang hiện tại:", impervaCookiesString);

    await browser.close();

    // 3) Giải quyết thử thách Imperva
    const cmcClient = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const impervaRequest = new ImpervaRequest({
        websiteURL: TARGET_URL,
        userAgent: "USER_AGENT_STRING",
        metadata: {
            incapsulaScriptUrl: "_Incapsula_Resource?example_param",
            incapsulaCookies: impervaCookiesString
        },
        proxy
    });

    const result = await cmcClient.Solve(impervaRequest);
    console.log("Giải pháp:", result);

    // 4) Chèn các cookie nhận được
    const domain = new URL(TARGET_URL).hostname;
    const solutionCookiesObj = result.solution.domains[domain].cookies;

    const solutionCookies = Object.entries(solutionCookiesObj).map(([name, value]) => ({
        name,
        value,
        domain: ".your-domain",
        path: "/",
        secure: true,
        httpOnly: false
    }));

    // 5) Thiết lập cookie và mở trang
    const browser2 = await chromium.launch({
        headless: false,
        proxy: {
            server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
            username: proxy.proxyLogin,
            password: proxy.proxyPassword
        }
    });

    const context2 = await browser2.newContext();
    await context2.addCookies(solutionCookies);

    const page2 = await context2.newPage();
    const resp2 = await page2.goto(TARGET_URL, { waitUntil: "networkidle" });

    // Xuất trạng thái trang cuối cùng (tùy chọn)
    // console.log("Trạng thái trang cuối cùng sau khi thiết lập cookie:", resp2?.status());

    // …hoặc ảnh chụp màn hình cuối cùng
    // await page2.screenshot({ path: "final_page.png" });

    console.log("Trang đã tải với các cookie Imperva được áp dụng.");
}

main().catch(console.error);

Ngoài ra còn có một cơ hội tuyệt vời để kiểm thử nhận dạng captcha bằng tiện ích mở rộng trình duyệt CapMonster Cloud, cho phép bạn nhanh chóng kiểm tra hoạt động của captcha ngay trên trang và theo dõi quá trình giải quyết trong thời gian thực mà không cần viết mã – có sẵn để cài đặt trên Chrome và Firefox.

Cách kết nối Imperva Incapsula vào trang web của bạn

Để tự tin điều hướng hoạt động của captcha trên trang web của bạn, hiểu logic kiểm tra, kết nối lại hoặc cấu hình lại bảo vệ, chúng tôi khuyên bạn nên nghiên cứu phần này. Phần này mô tả quy trình kết nối bảo vệ — điều này sẽ giúp bạn nhanh chóng hiểu rõ tất cả các sắc thái.

1. Tạo tài khoản (sử dụng email công việc của bạn để đăng ký) và truy cập Imperva Cloud Security Console.

2. Xác nhận email. Sau khi đăng nhập, bạn sẽ đến bảng điều khiển (bạn có thể tìm hiểu thêm về cách làm việc với Security Console trong tài liệu).

3. Mở phần Websites và nhập tên miền thực của trang web của bạn.

Quan trọng: Không sử dụng localhost, 127.0.0.1, các miền như .test và các địa chỉ không tồn tại khác.

HowTo Connect image 1

Imperva sẽ tự động:

phát hiện nhà cung cấp DNS của bạn,
kiểm tra SSL,
bắt đầu quét các bản ghi DNS.

4. Cấu hình các bản ghi DNS. Nếu Imperva hiển thị bước này:

Point dev.mysite.com DNS records to Imperva

Thực hiện như sau:

Truy cập bảng điều khiển DNS của nhà đăng ký hoặc hosting của bạn.
Tạo hoặc cập nhật bản ghi:


Loại (Type): CNAME
Tên (Name): dev (tên miền phụ bạn đang kết nối)
Giá trị (Value): <imperva_host_của_bạn>.ng.impervadns.net

Ví dụ:

dev.mysite.com > CNAME > xivaxeo.ng.impervadns.net

Quan trọng: Không sử dụng bản ghi A/AAAA — Imperva yêu cầu CNAME cho các tên miền phụ (subdomains).

Tùy chọn: bật hỗ trợ cho máy khách Non-SNI

Nếu Imperva hiển thị thông báo:

If you expect Non-SNI traffic…

Điều này liên quan đến các máy khách lỗi thời và các tích hợp cụ thể. Nếu trang web của bạn là tiêu chuẩn, bước này có thể bỏ qua.

Nếu cần, hãy bật:

CDN > Delivery > Support Non-SNI clients

5. Đợi xác minh DNS. Imperva sẽ kích hoạt bảo vệ và SSL.

Khi DNS kết nối, Imperva sẽ tự động:

triển khai CDN,
kích hoạt WAF (Tường lửa ứng dụng web),
tạo chứng chỉ HTTPS,
bật bảo vệ chống DDoS và bot.

6. Hạn chế truy cập trực tiếp vào máy chủ của bạn (khuyên dùng)

Để lưu lượng truy cập đi chỉ qua Imperva, trên máy chủ của bạn, bạn nên:

chỉ cho phép truy cập từ các địa chỉ IP của Imperva,
cấm các kết nối trực tiếp (trừ IP của chính bạn),

Bạn có thể tìm hiểu thêm trong phần Create Rules.

7. Kiểm tra hoạt động của trang web. Sau khi kích hoạt

mở tên miền phụ/tên miền của bạn trong trình duyệt,
hoặc sử dụng curl:

curl -I https://dev.mysite.com

Trong các tiêu đề (headers) sẽ xuất hiện các dòng như:


HTTP/1.1 403 Forbidden
Content-Type: text/html
Cache-Control: no-cache, no-store
Connection: close
Content-Length: 1234
X-Iinfo: 00-00000000-0 0NNN RT(1234567890 0) q(0 -1 -1 1) r(0 -1) B16(0,0,0) U24
Strict-Transport-Security: max-age=31536000
Set-Cookie: visid_incap_00000000000000000000000000000000=ABCDEFG1234567890TESTCOOKIE; expires=Wed, 11 Nov 2026 23:41:40 GMT; HttpOnly; path=/; Domain=.example.com; Secure; SameSite=None
Set-Cookie: incap_ses_0000_00000000=TESTSESSION1234567890; path=/; Domain=.example.com; Secure; SameSite=None

Điều này có nghĩa là lưu lượng truy cập đang đi qua Imperva.

Các lỗi thường gặp và cách xử lý

Tên miền hoặc quy tắc không hợp lệ — Challenge không hiển thị.

Kiểm tra xem Quy tắc bảo mật (Security Rule) có được liên kết với đúng tên miền và đường dẫn hay không, và đảm bảo không có xung đột với IncapRules hoặc ACL.

Hết thời gian chờ tải trang hoặc kiểm tra.

Trình duyệt có thể không đợi phản hồi từ Imperva. Hãy tăng thời gian chờ (timeouts) trong các bài kiểm tra và đảm bảo rằng backend phản hồi đủ nhanh.

Cookie Imperva đã hết hạn.

Các giá trị visid_incap, incap_ses, nlbi lỗi thời sẽ gây ra Challenge lặp lại hoặc bị chặn.

Quy tắc quá nhạy cảm.

Các chữ ký (signatures) nghiêm ngặt có thể chặn khách truy cập thực sự vào trang web của bạn.

Cấu hình sai.

Cài đặt hoặc quy tắc không chính xác, không tính đến đặc thù của trang web, sẽ gây ra việc chặn sai và cảnh báo giả (false positives).

Kiểm tra độ bền vững của lớp bảo vệ

Sau khi tích hợp, hãy đảm bảo hệ thống thực sự chặn được những hành động tự động.

Thực hiện yêu cầu không có cookie Imperva. Quy tắc WAF sẽ được kích hoạt (ví dụ: chặn hoặc kiểm tra bổ sung theo chính sách).

Kiểm tra truy cập lại với cookie hợp lệ. Người dùng sẽ đi qua mà không cần kiểm tra lại nếu WAF cho phép lưu lượng truy cập này.

Thực hiện kiểm thử tải (k6/JMeter). WAF phải xử lý ổn định khối lượng yêu cầu cao và không trả về lỗi 500/503.

Kiểm tra hành vi với cookie hết hạn hoặc không chính xác. Kết quả mong đợi là kiểm tra lại hoặc áp dụng quy tắc WAF đã cấu hình.

Khuyến nghị về bảo mật và tối ưu

Cấu hình WAF và Chính sách bảo mật (Security Policies) theo mức độ rủi ro. Sử dụng Managed Rules, Bot Protection và các quy tắc tùy chỉnh để kiểm soát chính xác hơn.

Cấu hình WAF và Chính sách bảo mật (Security Policies) theo mức độ rủi ro. Sử dụng Managed Rules, Bot Protection và các quy tắc tùy chỉnh để kiểm soát chính xác hơn.

Ghi lại các sự kiện bảo mật và kích hoạt WAF để xác định các cảnh báo giả và phân tích nguyên nhân bị chặn.

Ghi lại các sự kiện bảo mật và kích hoạt WAF để xác định các cảnh báo giả và phân tích nguyên nhân bị chặn.

Để minh bạch, hãy thêm liên kết đến <b>Chính sách bảo mật</b> và <b>Điều khoản sử dụng</b>. Điều này rất quan trọng để đảm bảo tính minh bạch và tuân thủ các yêu cầu bảo mật.

Để minh bạch, hãy thêm liên kết đến Chính sách bảo mật và Điều khoản sử dụng. Điều này rất quan trọng để đảm bảo tính minh bạch và tuân thủ các yêu cầu bảo mật.

Kết luận

Nếu bạn tiếp quản một trang web đã được cài sẵn captcha hoặc một hệ thống bảo vệ khác nhưng lại không có quyền truy cập vào mã nguồn thì cũng không có gì đáng lo! Việc xác định chính xác công nghệ nào đang được sử dụng khá đơn giản. Để kiểm tra xem mọi thứ có hoạt động đúng hay không, bạn có thể dùng dịch vụ nhận dạng CapMonster Cloud trong một môi trường thử nghiệm tách biệt nhằm đảm bảo cơ chế xử lý token và logic kiểm tra đang vận hành chính xác.

Với Imperva Incapsula, bạn chỉ cần nhận diện hệ thống, quan sát hành vi của nó và xác nhận rằng lớp bảo vệ hoạt động đúng cách. Trong bài viết này, chúng tôi đã chỉ ra cách nhận biết Imperva Incapsula và nơi tìm hướng dẫn tích hợp hoặc cấu hình lại, giúp bạn tự tin duy trì lớp bảo vệ và kiểm soát hoạt động của nó.

Liên kết hữu ích

Tài liệu Imperva Incapsula →

Đăng nhập vào Cloud Security Console →

Tài liệu CapMonster Cloud (làm việc với Imperva Incapsula) →

Tiện ích CapMonster Cloud cho trình duyệt có sẵn trên Chrome và Firefox. Hướng dẫn cài đặt và sử dụng đầy đủ tại đây.

Imperva Incapsula và CapMonster Cloud

Imperva Incapsula
và CapMonster Cloud