Bypass Incapsula, reese84 généré.
Un bypass Incapsula (Imperva) sans navigateur. Takion génère un capteur reese84 valide et le cookie ___utmvc en un seul POST, pour que vos requêtes passent Imperva et atteignent les données.
Dernière mise à jour · Couverture testée contre une cible Incapsula / Imperva réelle.
Bloqué par Incapsula ?
Incapsula (Imperva) ne vous sert pas tant que votre requête ne porte pas les cookies qu'il attend : un capteur reese84 validé ou le cookie de défi ___utmvc, plus la paire de session incap_ses / visid_incap. Takion les génère à partir du script de défi en direct, côté serveur, et renvoie le jeu complet prêt à être rejoué. Attachez les cookies à votre requête et Imperva vous laisse passer.
Comment fonctionne Incapsula
Incapsula (Imperva) propose deux familles de défis : l'ancien défi UTMVC en JS obfusqué qui dépose le cookie ___utmvc, et le plus récent capteur reese84 qui envoie en POST un payload chiffré vers un endpoint /_Incapsula_Resource et récupère un cookie validé. Les deux sont fortement obfusqués et changent régulièrement, et le payload reese84 en particulier est une cible mouvante qui casse les réimplémentations naïves.
Takion génère les deux (un capteur reese84 valide et le cookie ___utmvc) et les renvoie avec les cookies de session incap_ses et visid_incap. Un seul POST, pas de navigateur, aucune désobfuscation du script d'Imperva à la main ; le jeu de cookies revient prêt à être rejoué contre la cible.
Imperva a aussi commencé à superposer un nouveau WAF sur certains sites reese84, un captcha basé sur GeeTest par-dessus le cookie ___utmvc ou reese84 (SmythsToys en fait partie). Takion couvre aussi ce chemin, sur le même endpoint.
- Les défis que Takion couvre
- Génération du capteur reese84
- Défi UTMVC en JS obfusqué (___utmvc)
- Flux POST _Incapsula_Resource
- Cookies de session incap_ses / visid_incap
Ce qu'un seul appel renvoie
Un seul appel vers l'endpoint Incapsula renvoie le jeu de cookies validé, reese84 ou ___utmvc plus les cookies de session, prêt à être rejoué contre votre cible.
reese84le cookie capteur dans son état validé
___utmvcle cookie de défi UTMVC
incap_ses / visid_incaples cookies de session associés au capteur
# reese84
curl -X POST https://incapsula.takionapi.tech/reese84 \
-H "x-api-key: $TAKION_KEY" \
-H "Content-Type: application/json" \
-d '{ "script": "<the reese84 challenge script>" }'
# → { "payload": "<reese84 cookie value>" }
#
# UTMVC: POST https://incapsula.takionapi.tech/utmvc with the challenge HTML → { "___utmvc": "..." }Lire la documentation Incapsula / ImpervaUne seule clé, tous les murs. Un même format JSON, tous les vendors.
How the Incapsula bypass works, end to end
Two challenge paths, one endpoint. No browser, no de-obfuscating Imperva's script by hand.
- 1
You hit the wall
Instead of the page, Incapsula serves a challenge. Either the reese84 script (a JSON body with a token) or a
_Incapsula_Resourcescript for the ___utmvc path. - 2
You grab the challenge script
For reese84, read the challenge script response. For ___utmvc, pull the
_Incapsula_ResourceURL out of the page HTML and load it. - 3
You POST it to Takion
Send the script text to /reese84, or the script content plus your current session cookies to /utmvc. One call, no SDK.
- 4
We generate it server-side
Takion runs the logic Imperva's obfuscated JS would have run and builds the encrypted reese84 payload or computes the ___utmvc value. No headless Chrome anywhere.
- 5
You set the cookie and replay
For reese84, POST the payload we return to the site's reese84 endpoint and set the token it hands back as your reese84 cookie. For ___utmvc, set the cookie directly. Send your request again through the same session and you are in.
The Incapsula cookies, decoded
Two sensors, a session pair, and a captcha layer. Here is what each one is:
reese84- the sensor cookie, generated from an encrypted payload you POST back to the site. Imperva's main gate on ticketing sites like Ticketmaster
___utmvc- the older challenge cookie, computed from the
_Incapsula_Resourceobfuscated script. Validates browser-specific signals incap_ses / visid_incap- the session and visitor cookies Imperva pairs with the sensor. They tie your requests to one session
GeeTest WAF- the newer captcha layer on some reese84 and ___utmvc sites (SmythsToys). The ___utmvc path sets incap_sh_xxx cookies on top
Why request-based beats a headless browser here
reese84 is heavily obfuscated and it rotates. The browser way to beat it is a fleet of headless Chrome instances, each running Imperva's script, building the sensor payload, and hoping the fingerprint holds. It works until Imperva re-obfuscates, and it costs you a browser farm, constant patching, and seconds per request.
Takion reverses the challenge and generates the payload directly. A solve is one HTTP round trip instead of a full page render. No Chrome farm to babysit, no Selenium retries when a container dies mid-challenge. You send the script, you get the payload or the cookie back. Same story for the ___utmvc path.
What gets an Incapsula session flagged
A valid cookie is necessary, not sufficient. Imperva watches for these the moment you replay:
- User-Agent drift. The most common failure. Your User-Agent has to be identical on the challenge fetch, the Takion call, and the final request. One mismatch and the sensor reads as a different client.
- Proxy or TLS mismatch. Even a valid reese84 fails behind a bad proxy or a mismatched TLS stack. Keep the client consistent and the proxy clean.
- Skipping the payload POST. reese84 is not the value we return. You POST our payload to the site, then set the token it answers with. Set our payload directly and it will not clear.
- Missing session cookies. A reese84 or ___utmvc without the incap_ses / visid_incap pair reads as an incomplete session.
- Bad-reputation proxies. Flagged datacenter ranges get blocked before the challenge even loads. Clean residential or ISP proxies clear the reputation gate first.
The one rule that kills most 403s
Keep one User-Agent across the whole session. Same UA on the challenge fetch, the Takion call, and the final request. Match it with a clean proxy and consistent TLS, and Imperva stays cleared.
Quelques sites utilisant Incapsula
Incapsula / Imperva protège ces sites. Takion le franchit sur chacun, donc un bypass de smyths toys est le même POST unique que n'importe quel autre mur.
reese84 et le nouveau WAF GeeTest
FAQ bypass Incapsula
- Les deux. Takion couvre le capteur reese84 le plus récent et l'ancien défi UTMVC en JS obfusqué (___utmvc), et les renvoie avec les cookies de session incap_ses et visid_incap pour que le jeu complet se rejoue proprement.
- Oui, Incapsula est le produit de protection anti-bot d'Imperva. Que la cible l'appelle Incapsula ou Imperva, les flux reese84 et UTMVC sont les mêmes et Takion couvre les deux sous un seul endpoint.
- Oui. reese84 change et se réobfusque, nous le générons donc contre le script en direct à chaque appel et faisons tourner des tests de régression contre une vraie cible Imperva pour détecter les changements tôt.
- Imperva a commencé à superposer un captcha GeeTest sur certains sites reese84 (SmythsToys, par exemple). Takion gère aussi cette variante, sur le même endpoint.
Tous les autres murs
Livrez votre bypass Incapsula dès aujourd'hui.
Essai gratuit, puis une seule clé pour tous les murs. Premier appel en moins d'une heure.