Bypass do Incapsula, reese84 gerado.

Um bypass do Incapsula (Imperva) sem navegador. A Takion gera um sensor reese84 válido e o cookie ___utmvc em um POST, para que suas requisições passem pela Imperva e cheguem aos dados.

Última atualização · Cobertura testada contra um alvo Incapsula / Imperva ao vivo.

Sendo bloqueado pelo Incapsula?

O Incapsula (Imperva) não te serve até que sua requisição carregue os cookies que ele espera: um sensor reese84 validado ou o cookie de desafio ___utmvc, mais o par de sessão incap_ses / visid_incap. A Takion os gera a partir do script de desafio ao vivo, no servidor, e devolve o conjunto completo pronto para reutilizar. Anexe os cookies à sua requisição e a Imperva te deixa passar.

Como o Incapsula funciona

O Incapsula (Imperva) traz duas famílias de desafio: o antigo desafio de JS ofuscado UTMVC, que define o cookie ___utmvc, e o mais novo sensor reese84, que faz POST de um payload criptografado a um endpoint /_Incapsula_Resource e recebe de volta um cookie validado. Os dois são fortemente ofuscados e giram, e o payload reese84 em particular é um alvo em movimento que quebra reimplementações ingênuas.

A Takion gera os dois (um sensor reese84 válido e o cookie ___utmvc) e os devolve com os cookies de sessão incap_ses e visid_incap. Um POST, sem navegador, sem desofuscar o script da Imperva na mão; o conjunto de cookies volta pronto para reutilizar contra o alvo.

A Imperva também começou a colocar um novo WAF em alguns sites com reese84, um captcha baseado em GeeTest por cima do cookie ___utmvc ou reese84 (a SmythsToys é um caso). A Takion cobre esse caminho também, no mesmo endpoint.

  • Desafios que a Takion cobre
  • Geração do sensor reese84
  • Desafio de JS ofuscado UTMVC (___utmvc)
  • Fluxo de POST do _Incapsula_Resource
  • Cookies de sessão incap_ses / visid_incap

O que uma chamada devolve

Uma chamada ao endpoint do Incapsula devolve o conjunto de cookies validado, reese84 ou ___utmvc mais os cookies de sessão, pronto para reutilizar contra o seu alvo.

reese84

o cookie de sensor em seu estado validado

___utmvc

o cookie do desafio UTMVC

incap_ses / visid_incap

os cookies de sessão que acompanham o sensor

# reese84
curl -X POST https://incapsula.takionapi.tech/reese84 \
  -H "x-api-key: $TAKION_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "script": "<the reese84 challenge script>" }'
# → { "payload": "<reese84 cookie value>" }
#
# UTMVC: POST https://incapsula.takionapi.tech/utmvc with the challenge HTML → { "___utmvc": "..." }

Ler a documentação do Incapsula / ImpervaA mesma chave para todo muro. O mesmo formato de JSON para todo fornecedor.

How the Incapsula bypass works, end to end

Two challenge paths, one endpoint. No browser, no de-obfuscating Imperva's script by hand.

  1. 1

    You hit the wall

    Instead of the page, Incapsula serves a challenge. Either the reese84 script (a JSON body with a token) or a _Incapsula_Resource script for the ___utmvc path.

  2. 2

    You grab the challenge script

    For reese84, read the challenge script response. For ___utmvc, pull the _Incapsula_Resource URL out of the page HTML and load it.

  3. 3

    You POST it to Takion

    Send the script text to /reese84, or the script content plus your current session cookies to /utmvc. One call, no SDK.

  4. 4

    We generate it server-side

    Takion runs the logic Imperva's obfuscated JS would have run and builds the encrypted reese84 payload or computes the ___utmvc value. No headless Chrome anywhere.

  5. 5

    You set the cookie and replay

    For reese84, POST the payload we return to the site's reese84 endpoint and set the token it hands back as your reese84 cookie. For ___utmvc, set the cookie directly. Send your request again through the same session and you are in.

The Incapsula cookies, decoded

Two sensors, a session pair, and a captcha layer. Here is what each one is:

reese84
the sensor cookie, generated from an encrypted payload you POST back to the site. Imperva's main gate on ticketing sites like Ticketmaster
___utmvc
the older challenge cookie, computed from the _Incapsula_Resource obfuscated script. Validates browser-specific signals
incap_ses / visid_incap
the session and visitor cookies Imperva pairs with the sensor. They tie your requests to one session
GeeTest WAF
the newer captcha layer on some reese84 and ___utmvc sites (SmythsToys). The ___utmvc path sets incap_sh_xxx cookies on top

Why request-based beats a headless browser here

reese84 is heavily obfuscated and it rotates. The browser way to beat it is a fleet of headless Chrome instances, each running Imperva's script, building the sensor payload, and hoping the fingerprint holds. It works until Imperva re-obfuscates, and it costs you a browser farm, constant patching, and seconds per request.

Takion reverses the challenge and generates the payload directly. A solve is one HTTP round trip instead of a full page render. No Chrome farm to babysit, no Selenium retries when a container dies mid-challenge. You send the script, you get the payload or the cookie back. Same story for the ___utmvc path.

What gets an Incapsula session flagged

A valid cookie is necessary, not sufficient. Imperva watches for these the moment you replay:

  • User-Agent drift. The most common failure. Your User-Agent has to be identical on the challenge fetch, the Takion call, and the final request. One mismatch and the sensor reads as a different client.
  • Proxy or TLS mismatch. Even a valid reese84 fails behind a bad proxy or a mismatched TLS stack. Keep the client consistent and the proxy clean.
  • Skipping the payload POST. reese84 is not the value we return. You POST our payload to the site, then set the token it answers with. Set our payload directly and it will not clear.
  • Missing session cookies. A reese84 or ___utmvc without the incap_ses / visid_incap pair reads as an incomplete session.
  • Bad-reputation proxies. Flagged datacenter ranges get blocked before the challenge even loads. Clean residential or ISP proxies clear the reputation gate first.

The one rule that kills most 403s

Keep one User-Agent across the whole session. Same UA on the challenge fetch, the Takion call, and the final request. Match it with a clean proxy and consistent TLS, and Imperva stays cleared.

Alguns sites que usam Incapsula

Incapsula / Imperva protege estes sites. O Takion o resolve em cada um, então um bypass de smyths toys é o mesmo POST único que qualquer outro muro.

Smyths Toys

reese84 e o novo WAF com GeeTest

Perguntas frequentes sobre o bypass do Incapsula

Os dois. A Takion cobre o sensor mais novo reese84 e o antigo desafio de JS ofuscado ___utmvc, e os devolve junto com os cookies de sessão incap_ses e visid_incap, para que o conjunto completo se reutilize sem problemas.
Sim, o Incapsula é o produto de proteção contra bots da Imperva. Não importa se o alvo chama de Incapsula ou Imperva, os fluxos reese84 e UTMVC são os mesmos e a Takion cobre os dois em um único endpoint.
Sim. O reese84 gira e se reofusca, então nós o geramos contra o script ao vivo a cada chamada e rodamos testes de regressão contra um alvo real da Imperva para pegar mudanças cedo.
A Imperva começou a colocar um captcha GeeTest em alguns sites com reese84 (a SmythsToys, por exemplo). A Takion também trata essa variante, no mesmo endpoint.

Todos os outros muros

Lance seu bypass do Incapsula hoje.

Teste gratuito e, depois, uma única chave para todos os muros. Primeira chamada em menos de uma hora.