Anti-Bot e sicurezza 12 min di lettura

Imperva Bot Management: Guida Tecnica per Superare il Detection Enterprise

Analisi approfondita di Imperva Bot Management: segnali JA3/JA4, cookie __utmvc, fingerprint TLS e strategie legittime con proxy residenziali per scraping su siti europei protetti.

ProxyHat Team
Imperva Bot Management: Guida Tecnica per Superare il Detection Enterprise

Se hai mai provato a raccogliere dati da MediaMarkt, Otto o Zalando e ti sei ritrovato davanti a una pagina vuota con un cookie __utmvc nel response, sai esattamente cosa significa incappare in Imperva Bot Management. Il sistema — nato come Distil Networks e acquisito da Imperva nel 2019 — è uno dei bot management platform più diffusi nei deployment enterprise europei e americani.

Questa guida non è un tutorial per hackerare qualcosa. È un riferimento tecnico per scraping engineer e security researcher che devono accedere legittimamente a dati pubblici su siti protetti da Imperva, mantenendo un profilo di traffico pulito e rispettoso.

Posizione di Imperva nello Stack: WAF + Bot Management

Imperva non è un semplice plugin. Opera come reverse proxy seduto davanti all'origin server, intercettando ogni richiesta prima che raggiunga l'infrastruttura del cliente. Questo significa che il flusso è:

  1. Il browser invia la richiesta al dominio target.
  2. La richiesta colpisce prima l'edge di Imperva (spesso su infra Imperva stessa, con IP che risolvono a AS di Imperva).
  3. Imperva valuta la richiesta attraverso molteplici layer di detection.
  4. Se la richiesta passa, viene inoltrata all'origin; altrimenti, viene servita una challenge page, un block page (HTTP 403/503), o un redirect a un CAPTCHA.

La combinazione WAF + Bot Management è cruciale: il WAF filtra attacchi applicazionali noti (SQLi, XSS), mentre il Bot Management layer si concentra su chi sta facendo la richiesta e come si comporta nel tempo. Per i siti enterprise europei, questo dual-layer è standard — non troverai l'uno senza l'altro.

Nota pratica: I siti che usano Imperva spesso hanno record DNS che puntano a IP Imperva (es. range 45.60.x.x, 107.154.x.x). Se risolvi il dominio e ottieni questi IP, sai già che il traffico passa attraverso la loro infrastruttura.

Segnali di Detection: Cosa Guarda Imperva

Imperva utilizza un modello multi-segnale dove ogni richiesta viene valutata su decine di dimensioni. Ecco le più rilevanti per chi fa scraping.

1. IP Reputation e Classificazione

Il primo filtro è sempre l'IP. Imperva mantiene un database di reputazione IP che classifica:

  • Datacenter IP — range ASN associati a AWS, GCP, Azure, OVH, Hetzner, DigitalOcean. Questi vengono quasi sempre challenge-ati o bloccati per traffico automatizzato.
  • Known proxy/VPN — IP di exit node Tor, VPN commerciali, proxy pubblici.
  • Residential IP — IP associati a ISP residential. Questi hanno la probabilità più alta di passare il primo filtro.
  • Mobile IP — IP di reti mobili (Vodafone, Telekom, Orange). Altamente attendibili per il traffico consumer.

La classificazione non è solo per IP singolo: Imperva guarda anche il comportamento aggregato dell'ASN. Se un range /24 di un datacenter genera traffico bot-like, l'intero range viene degradato.

2. TLS Fingerprinting: JA3/JA4 e il "Cipher Suite Rollup"

Questo è il segnale più sottile e potente. Quando il client stabilisce la connessione TLS, prima ancora di inviare qualsiasi header HTTP, Imperva cattura il ClientHello e ne estrae una firma.

Il fingerprint JA3 è calcolato come:

JA3 = MD5(TLSVersion, CipherSuites, Extensions, EllipticCurves, EllipticCurvePointFormats)

Imperva usa una variante che chiamano "cipher suite rollup": invece di hashrare l'elenco esatto delle cipher suite, le raggruppa in categorie (es. "modern Chrome", "legacy Firefox", "Python requests") e confronta il risultato contro un database di firme note. Questo rende il fingerprinting più resiliente a piccole variazioni ma ugualmente discriminante.

Alcune firme JA3 note che vengono immediatamente flaggate:

ClientJA3 Hash (esempio)Esito Imperva
Python requestsaae... (OpenSSL statico)Blocco immediato
Go net/httpb6d... (Go TLS default)Challenge o blocco
Chrome 120+ (reale)771,4865-4866... (moderno)Passa se IP pulito
Firefox 120+ (reale)771,4865-4867... (moderno)Passa se IP pulito
curl (default)771,4866-4867... (OpenSSL)Sospetto / blocco

Il nuovo standard JA4 (introdotta da FoxIO/JA3er) aggiunge ulteriori dimensioni: il numero di extension, la lunghezza della SNI, e l'ordinamento delle extension. Imperva sta migrando verso JA4 per aumentare la granularità.

3. User-Agent Normalization e Consistency Check

Imperva non guarda solo all'UA string — confronta l'UA dichiarato contro tutti gli altri segnali:

  • L'UA dichiara Chrome 120 su Windows, ma il TLS fingerprint è quello di OpenSSL Linux? Mismatch → flag.
  • L'UA dichiara Safari su macOS, ma gli header Accept-Encoding seguono l'ordine di Chrome? Mismatch → flag.
  • L'UA dichiara un browser mobile, ma la risoluzione viewport e i JS capability sono desktop? Mismatch → flag.

La normalizzazione riduce l'UA a una classe (Chrome-desktop, Safari-mobile, ecc.) e verifica che ogni altro segnale sia coerente con quella classe. È un approccio estremamente efficace contro la semplice rotazione dell'UA.

4. Segnali Comportamentali (Behavioral Analytics)

Il layer comportamentale analizza pattern di traffico nel tempo:

  • Request rate — troppi request per secondo dallo stesso IP o dalla stessa session.
  • Navigation pattern — un utente reale naviga: homepage → categoria → prodotto. Un bot va direttamente a /product/12345 senza referer.
  • Mouse/scroll/interaction — Imperva raccoglie eventi JS di interazione. L'assenza di questi eventi è un segnale negativo.
  • Session duration — sessioni di 2 secondi con 50 request sono ovvie.
  • Repetition — lo stesso pattern di URL visitati, nello stesso ordine, ripetuto su decine di sessioni.

Il Flusso di Verifica Session: Cookie __utmvc e Incapsula

Il meccanismo di verifica di Imperva segue un flusso ben preciso che è fondamentale capire.

Fase 1: Challenge Iniziale

Quando un nuovo visitatore arriva, Imperva può servire una pagina di challenge HTML che contiene JavaScript obfuscato. Questo JS:

  1. Raccoglie fingerprint del browser (canvas, WebGL, screen resolution, timezone, lingua).
  2. Esegue test di consistenza (eval di espressioni, verifica di API browser).
  3. Calcola un valore di verifica.
  4. Imposta il cookie __utmvc con il risultato e reindirizza alla pagina originale.

Il cookie __utmvc è la chiave di tutto. Senza di esso (o con un valore non valido), ogni richiesta successiva viene bloccata o challenge-ata di nuovo.

Fase 2: Cookie Incapsula

Dopo il passaggio del challenge, Imperva imposta anche cookie incap_ses_* e visid_incap_*. Questi cookie di sessione:

  • Contengono un session ID criptato legato all'IP e al fingerprint del browser.
  • Hanno una durata limitata (tipicamente 30 minuti di inattività).
  • Se l'IP cambia durante la sessione, il cookie viene invalidato → nuovo challenge.

Fase 3: Verifica Continua

Imperva non verifica solo all'ingresso. Periodicamente, durante la navigazione, il JS lato client invia segnali di "heartbeat" al server Imperva. Se questi segnali si fermano (es. headless browser senza JS execution), la sessione viene degradata.

Implicazione critica: Non basta superare il challenge iniziale. Devi mantenere un browser context vivo e coerente per tutta la durata della session. Questo è il motivo per cui requests puro non funziona mai con Imperva — non esegue JS.

Perché Serve Proxy Residenziale + Browser Context Consistente

Dall'analisi dei segnali, emerge chiaramente perché la combinazione proxy residenziale + browser stealth è l'unico approccio che funziona in modo sostenibile:

IP residenziale è necessario perché:

  • Gli IP datacenter sono immediatamente classificati e bloccati dal layer di IP reputation.
  • Le VPN commerciali hanno IP condivisi tra migliaia di utenti, con reputazione degradata.
  • Gli IP residenziali, specialmente se geo-localizzati nel paese del sito target, hanno la massima probabilità di passare il primo filtro.

Browser context consistente è necessario perché:

  • Il TLS fingerprint deve corrispondere all'UA dichiarato.
  • Il JS deve essere eseguito per generare il cookie __utmvc.
  • I segnali comportamentali (mouse, scroll) devono essere presenti.
  • La sessione deve essere mantenuta coerentemente (stesso IP, stesso fingerprint).

Esempio: Setup con ProxyHat e Playwright Stealth

Il seguente esempio mostra come configurare un browser stealth con proxy residenziale tedesco, essenziale per siti come MediaMarkt e Otto:

from playwright.sync_api import sync_playwright

PROXY_URL = "http://user-country-DE-city-berlin:PASSWORD@gate.proxyhat.com:8080"

with sync_playwright() as p:
    browser = p.chromium.launch(
        headless=True,
        proxy={"server": PROXY_URL},
        args=[
            "--disable-blink-features=AutomationControlled",
            "--disable-features=IsolateOrigins,site-per-process",
        ]
    )
    context = browser.new_context(
        user_agent=(
            "Mozilla/5.0 (Windows NT 10.0; Win64; x64) "
            "AppleWebKit/537.36 (KHTML, like Gecko) "
            "Chrome/124.0.0.0 Safari/537.36"
        ),
        viewport={"width": 1920, "height": 1080},
        locale="de-DE",
        timezone_id="Europe/Berlin",
        geolocation={"latitude": 52.52, "longitude": 13.405},
    )
    page = context.new_page()

    # Naviga al sito protetto da Imperva
    page.goto("https://www.mediamarkt.de/de/product/123456.html", wait_until="networkidle")

    # Attendi che il challenge Imperva venga risolto
    page.wait_for_selector(".product-title", timeout=30000)

    print(page.title())
    browser.close()

Note chiave in questo setup:

  • Geo-targeting DE: il parametro country-DE-city-berlin nel username di ProxyHat garantisce che l'IP residenziale sia localizzato in Germania.
  • Context coerente: locale="de-DE", timezone_id="Europe/Berlin" e geolocation sono tutti allineati con l'IP tedesco.
  • Stealth args: --disable-blink-features=AutomationControlled rimuove il flag navigator.webdriver.
  • wait_until="networkidle": aspetta che il JS di Imperva finisca di eseguire e imposti i cookie.

Siti Europei che Usano Imperva: Il Caso Germania

Il mercato tedesco è particolarmente interessante per chi fa e-commerce scraping. I principali retailer usano Imperva:

SitoSettoreNote Imperva
MediaMarkt.deElettronicaChallenge JS + cookie __utmvc, IP reputation aggressivo
Otto.deMarketplaceWAF + Bot Management, verifica comportamentale intensa
Zalando.comFashionImperva + PerimeterX in A/B, challenge intermittente
Conrad.comElettronica B2BImperva standard, meno aggressivo su IP residenziali
Notebooksbilliger.deElettronicaImperva + custom rate limiting

Per questi siti, l'IP residenziale tedesco non è un optional — è un requisito. Un IP americano o inglese, anche residenziale, ha probabilità significativamente più alte di essere challenge-ato su siti .de. Imperva correla la geo dell'IP con l'expected audience del sito.

Configurazione curl per Test Rapido

Per verificare rapidamente se un IP residenziale DE passa il challenge di Imperva:

# Test con proxy residenziale tedesco via ProxyHat
curl -x http://user-country-DE:PASSWORD@gate.proxyhat.com:8080 \
     -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36" \
     -H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8" \
     -H "Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7" \
     -H "Accept-Encoding: gzip, deflate, br" \
     -v \
     "https://www.mediamarkt.de/" 2>&1 | grep -E "(Set-Cookie|HTTP/|__utmvc|incap_ses)"

Se vedi Set-Cookie: __utmvc nel response, significa che Imperva sta ancora challenge-ando. Se vedi incap_ses_ senza __utmvc, il challenge è stato superato — ma nota che curl non esegue JS, quindi questo test funziona solo per verificare se l'IP passa il primo filtro di IP reputation.

Pattern di Accesso Legittimo: Stealth Browser + Proxy Residenziale + Pacing Realistico

Ora che abbiamo analizzato come funziona la detection, vediamo come costruire un pattern di accesso che sia legittimo e sostenibile.

1. Browser Stealth: Non Solo Playwright

Playwright con gli argomenti giusti è un buon punto di partenza, ma per siti con Imperva particolarmente aggressivo, considera:

  • playwright-extra con stealth plugin: aggiunge patch per navigator.webdriver, chrome.runtime, e altri leak comuni.
  • Undetected-chromedriver (Python): per Selenium, patch automaticamente il chromedriver per evitare detection.
  • Camoufox: browser Firefox modificato per evitare fingerprinting, particolarmente efficace contro JA3/JA4 detection.

2. Proxy Residenziale con Sessioni Sticky

Con Imperva, non puoi cambiare IP durante una sessione. Se l'IP cambia, i cookie Incapsula vengono invalidati e devi ripetere il challenge. Usa sessioni sticky:

import requests
from urllib.parse import quote

# Sessione sticky con ProxyHat — l'IP non cambia per la durata della session
SESSION_ID = "imperva-scrape-session-001"
PROXY_URL = f"http://user-country-DE-session-{SESSION_ID}:PASSWORD@gate.proxyhat.com:8080"

proxies = {
    "http": PROXY_URL,
    "https": PROXY_URL,
}

# Nota: requests puro NON funziona con Imperva per il challenge JS.
# Questo è solo per API calls post-challenge, dove hai già i cookie.
# Per il challenge iniziale, DEVI usare un browser (Playwright, ecc.)

session = requests.Session()
session.proxies.update(proxies)
session.headers.update({
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36",
    "Accept-Language": "de-DE,de;q=0.9",
})

# Dopo aver ottenuto i cookie via browser, trasferiscili alla sessione requests
# session.cookies["incap_ses_XXX"] = "..."
# session.cookies["visid_incap_XXX"] = "..."

3. Pacing Realistico

Il behavioral analytics di Imperva è sensibile al ritmo delle richieste. Linee guida:

  • Delay tra richieste: 3-8 secondi randomizzati (distribuzione gaussiana centrata su 5s).
  • Pattern di navigazione: simula un utente reale — visita la homepage, poi una categoria, poi un prodotto.
  • Referer header: sempre presente e coerente con la navigazione.
  • Orari: distribuisci il traffico in orari realistici per il fuso orario del paese target.
  • Volume per IP: non superare 100-200 pagine per sessione. Dopo, ruota la sessione.

4. Gestione della Rotazione delle Sessioni

Quando ruoti una sessione, devi:

  1. Chiudere il browser context (per pulire fingerprint e storage).
  2. Ottenere un nuovo IP residenziale (nuovo session ID con ProxyHat).
  3. Ripetere il challenge iniziale da zero.
  4. Non riutilizzare MAI i cookie di una sessione su un IP diverso.
import random
import time

SESSION_ID = f"imperva-{random.randint(100000, 999999)}"
PROXY_URL = f"http://user-country-DE-session-{SESSION_ID}:PASSWORD@gate.proxyhat.com:8080"

# Navigazione realistica
def human_like_delay():
    """Delay gaussiano centrato su 5 secondi"""
    delay = max(2, random.gauss(5, 1.5))
    time.sleep(delay)

# Simula navigazione: homepage → categoria → prodotto
# 1. Homepage
page.goto("https://www.mediamarkt.de/", wait_until="networkidle")
human_like_delay()

# 2. Categoria
page.click("a[href*='/category/smartphones']")
page.wait_for_load_state("networkidle")
human_like_delay()

# 3. Prodotto
page.click(".product-card:first-child a")
page.wait_for_load_state("networkidle")
human_like_delay()

# Estrai dati
product_data = page.evaluate("""() => ({
    title: document.querySelector('.product-title')?.textContent,
    price: document.querySelector('.price')?.textContent,
})""")

Canvas Fingerprinting e Altri Segnali JS

Oltre al TLS fingerprinting, Imperva raccoglie segnali JavaScript avanzati:

  • Canvas fingerprint: rendering di testo e grafica su un canvas nascosto, poi hash del risultato. Varia per combinazione GPU + driver + font.
  • WebGL fingerprint: informazioni sul renderer e vendor WebGL.
  • AudioContext fingerprint: elaborazione audio offline con hash del risultato.
  • Font enumeration: lista dei font installati via JS measurement.
  • Screen resolution + colorDepth: verifica coerenza con l'UA.

Per superare questi controlli, il browser stealth deve:

  • Restituire valori di canvas/WebGL coerenti con l'UA dichiarato (non iniettare valori randomici — sono facili da rilevare).
  • Mantenere lo stesso fingerprint tra una richiesta e l'altra nella stessa sessione.
  • Non avere API mancanti o disabilitate (es. navigator.getBattery, MediaDevices.enumerateDevices).

Camoufox è particolarmente efficace qui perché, essendo basato su Firefox, produce fingerprint Firefox nativi che sono coerenti e difficili da distinguere da un browser reale.

Considerazioni Etiche e Legalità

È importante sottolineare alcuni principi fondamentali:

  • Rispetta robots.txt: se un sito dice di non scrapare una sezione, non farlo.
  • Rate limiting responsabile: non sovraccaricare il server. Se il tuo traffico rappresenta più dell'1% del traffico totale del sito, stai andando troppo veloce.
  • Dati pubblici: limitati a dati visibili senza autenticazione. Non tentare di accedere a dati privati o dietro login non autorizzato.
  • GDPR e CCPA: se raccogli dati personali (nomi, email, recensioni con PII), devi conformarti alle normative applicabili.
  • Termini di servizio: molti siti proibiscono lo scraping nei loro ToS. Valuta il rischio legale con il tuo counsel.

Per approfondire il quadro legale dello scraping, consulta la nostra guida alla legalità del web scraping.

Confronto: Strategie per Gestire Imperva

StrategiaFunziona?SostenibilitàNote
requests puroNoN/ANessuna esecuzione JS, impossibile generare __utmvc
requests + proxy datacenterNoN/ADoppio fallimento: no JS + IP bloccato
Selenium vanillaRaramenteBassaRilevato da navigator.webdriver e fingerprint
Playwright + proxy datacenterParzialeBassaJS funziona, ma IP datacenter viene bloccato
Playwright stealth + proxy residenzialeAltaApproccio consigliato per accesso legittimo
Camoufox + proxy residenziale DEMolto altaMiglior combinazione per siti DE con Imperva
Browser reale + proxy mobileMassimaOltre ogni ragionevole detection, ma costo elevato

Key Takeaways

  • Imperva Bot Management opera come reverse proxy e valuta ogni richiesta su molteplici dimensioni: IP reputation, TLS fingerprint (JA3/JA4/cipher suite rollup), UA consistency, e behavioral analytics.
  • Il cookie __utmvc è il gatekeeper: senza esecuzione JS, non puoi generarlo. requests puro non funzionerà mai.
  • I cookie Incapsula sono legati all'IP: se l'IP cambia durante la sessione, i cookie vengono invalidati. Usa sessioni sticky con ProxyHat.
  • Gli IP residenziali geo-localizzati sono essenziali: per siti .de, usa IP residenziali tedeschi. Un IP americano, anche residenziale, viene challenge-ato più frequentemente.
  • Il TLS fingerprint deve essere coerente con l'UA dichiarato. Usa browser reali (Chrome, Firefox) o fork stealth (Camoufox) — mai librerie HTTP pure.
  • Pacing realistico è non-negotiabile: delay gaussiani, pattern di navigazione, referer coerenti, e volume ragionevole per sessione.
  • Il behavioral analytics è continuo: non basta superare il challenge iniziale. Devi mantenere un profilo coerente per tutta la sessione.

Se hai bisogno di proxy residenziali geo-localizzati per i tuoi progetti di scraping su siti europei protetti, dai un'occhiata alle opzioni di pricing di ProxyHat o esplora le locazioni disponibili — copriamo ISP residenziali in Germania e in tutta Europa.

Per approfondire le tecniche di web scraping con proxy, leggi anche la nostra guida su web scraping con proxy residenziali.

Pronto per iniziare?

Accedi a oltre 50M di IP residenziali in oltre 148 paesi con filtraggio AI.

Vedi i prezziProxy residenziali
← Torna al Blog