Обход Incapsula, reese84 сгенерирован.
Обход Incapsula (Imperva) без браузера. Takion генерирует валидный сенсор reese84 и cookie ___utmvc за один POST-запрос, чтобы ваши запросы проходили Imperva и достигали данных.
Последнее обновление · Покрытие протестировано на живой цели Incapsula / Imperva.
Incapsula вас блокирует?
Incapsula (Imperva) не обслужит вас, пока ваш запрос не будет нести нужные ей cookie: валидированный сенсор reese84 или cookie челленджа ___utmvc, плюс пару incap_ses / visid_incap. Takion генерирует их из живого скрипта проверки, на своей стороне, и возвращает полный набор готовым к воспроизведению. Прикрепите cookie к запросу — и Imperva вас пропустит.
Как работает Incapsula
Incapsula (Imperva) поставляет два семейства проверок: старый обфусцированный JS-челлендж UTMVC, который выставляет cookie ___utmvc, и более новый сенсор reese84, который отправляет POST-запросом зашифрованный payload на эндпоинт /_Incapsula_Resource и получает в ответ валидированный cookie. Оба сильно обфусцированы и меняются, а payload reese84 в особенности — движущаяся мишень, ломающая наивные переработки.
Takion генерирует оба (валидный сенсор reese84 и cookie ___utmvc) и возвращает их вместе с сессионными cookie incap_ses и visid_incap. Один POST-запрос, без браузера и без ручной деобфускации скрипта Imperva; набор cookie возвращается готовым к воспроизведению против цели.
Imperva также начала накладывать на некоторые reese84-сайты новый WAF — капчу на базе GeeTest поверх cookie ___utmvc или reese84 (SmythsToys — один из таких). Takion закрывает и этот путь, под тем же эндпоинтом.
- Проверки, которые закрывает Takion
- Генерация сенсора reese84
- Обфусцированный JS-челлендж UTMVC (___utmvc)
- POST-поток _Incapsula_Resource
- Сессионные cookie incap_ses / visid_incap
Что возвращает один вызов
Один вызов эндпоинта Incapsula возвращает валидированный набор cookie — reese84 или ___utmvc плюс сессионные cookie, — готовый к воспроизведению против вашей цели.
reese84сенсорный cookie в валидированном состоянии
___utmvccookie челленджа UTMVC
incap_ses / visid_incapсессионные cookie в паре с сенсором
# reese84
curl -X POST https://incapsula.takionapi.tech/reese84 \
-H "x-api-key: $TAKION_KEY" \
-H "Content-Type: application/json" \
-d '{ "script": "<the reese84 challenge script>" }'
# → { "payload": "<reese84 cookie value>" }
#
# UTMVC: POST https://incapsula.takionapi.tech/utmvc with the challenge HTML → { "___utmvc": "..." }Читать документацию по Incapsula / ImpervaОдин ключ на все стены. Одна структура JSON для каждого вендора.
How the Incapsula bypass works, end to end
Two challenge paths, one endpoint. No browser, no de-obfuscating Imperva's script by hand.
- 1
You hit the wall
Instead of the page, Incapsula serves a challenge. Either the reese84 script (a JSON body with a token) or a
_Incapsula_Resourcescript for the ___utmvc path. - 2
You grab the challenge script
For reese84, read the challenge script response. For ___utmvc, pull the
_Incapsula_ResourceURL out of the page HTML and load it. - 3
You POST it to Takion
Send the script text to /reese84, or the script content plus your current session cookies to /utmvc. One call, no SDK.
- 4
We generate it server-side
Takion runs the logic Imperva's obfuscated JS would have run and builds the encrypted reese84 payload or computes the ___utmvc value. No headless Chrome anywhere.
- 5
You set the cookie and replay
For reese84, POST the payload we return to the site's reese84 endpoint and set the token it hands back as your reese84 cookie. For ___utmvc, set the cookie directly. Send your request again through the same session and you are in.
The Incapsula cookies, decoded
Two sensors, a session pair, and a captcha layer. Here is what each one is:
reese84- the sensor cookie, generated from an encrypted payload you POST back to the site. Imperva's main gate on ticketing sites like Ticketmaster
___utmvc- the older challenge cookie, computed from the
_Incapsula_Resourceobfuscated script. Validates browser-specific signals incap_ses / visid_incap- the session and visitor cookies Imperva pairs with the sensor. They tie your requests to one session
GeeTest WAF- the newer captcha layer on some reese84 and ___utmvc sites (SmythsToys). The ___utmvc path sets incap_sh_xxx cookies on top
Why request-based beats a headless browser here
reese84 is heavily obfuscated and it rotates. The browser way to beat it is a fleet of headless Chrome instances, each running Imperva's script, building the sensor payload, and hoping the fingerprint holds. It works until Imperva re-obfuscates, and it costs you a browser farm, constant patching, and seconds per request.
Takion reverses the challenge and generates the payload directly. A solve is one HTTP round trip instead of a full page render. No Chrome farm to babysit, no Selenium retries when a container dies mid-challenge. You send the script, you get the payload or the cookie back. Same story for the ___utmvc path.
What gets an Incapsula session flagged
A valid cookie is necessary, not sufficient. Imperva watches for these the moment you replay:
- User-Agent drift. The most common failure. Your User-Agent has to be identical on the challenge fetch, the Takion call, and the final request. One mismatch and the sensor reads as a different client.
- Proxy or TLS mismatch. Even a valid reese84 fails behind a bad proxy or a mismatched TLS stack. Keep the client consistent and the proxy clean.
- Skipping the payload POST. reese84 is not the value we return. You POST our payload to the site, then set the token it answers with. Set our payload directly and it will not clear.
- Missing session cookies. A reese84 or ___utmvc without the incap_ses / visid_incap pair reads as an incomplete session.
- Bad-reputation proxies. Flagged datacenter ranges get blocked before the challenge even loads. Clean residential or ISP proxies clear the reputation gate first.
The one rule that kills most 403s
Keep one User-Agent across the whole session. Same UA on the challenge fetch, the Takion call, and the final request. Match it with a clean proxy and consistent TLS, and Imperva stays cleared.
Некоторые сайты на Incapsula
Incapsula / Imperva защищает эти сайты. Takion проходит его на каждом, так что обход smyths toys это тот же один POST, что и любая другая стена.
reese84 и новый WAF на GeeTest
FAQ по обходу Incapsula
- И то, и другое. Takion закрывает более новый сенсор reese84 и старый обфусцированный JS-челлендж ___utmvc и возвращает их вместе с сессионными cookie incap_ses и visid_incap, чтобы полный набор воспроизводился без сбоев.
- Да, Incapsula — это продукт бот-защиты от Imperva. Как бы цель ни называла его — Incapsula или Imperva, — потоки reese84 и UTMVC одни и те же, и Takion закрывает оба под одним эндпоинтом.
- Да. reese84 меняется и переобфусцируется, поэтому мы генерируем его под живой скрипт на каждый вызов и гоняем регрессионные тесты на реальной цели Imperva, чтобы ловить изменения заранее.
- Imperva начала накладывать капчу GeeTest на некоторые reese84-сайты (SmythsToys, к примеру). Takion обрабатывает и этот вариант, на том же эндпоинте.
Любая другая стена
Запустите обход Incapsula уже сегодня.
Бесплатный доступ, потом один ключ на все стены. Первый вызов — меньше чем за час.