Knowledge Base
Bot/WAF challenge вместо ошибки сайта
Bot/WAF challenge вместо ошибки сайта
Категория: HTTP · Риск: low
Bot/WAF challenge вместо ошибки сайта
В чём проблема классификации
HTTP `403`, `429` или `451` не всегда означает, что сайт сломан для обычных пользователей.
Крупные сайты и сайты с антибот-защитой могут показывать scanner'у:
- captcha;
- browser challenge;
- WAF block page;
- rate limit;
- country/ASN restriction;
- bot protection interstitial.
В таком случае правильно писать не “главная страница возвращает ошибку клиента”, а:
> Сайт ограничил автоматическую проверку.
Почему это важно
Если NodeRoute ошибочно считает captcha/WAF-защиту поломкой сайта, отчёт теряет доверие. Например, Reddit, Google, Cloudflare, маркетплейсы и банки могут активно фильтровать автоматические запросы, но быть доступными обычным пользователям.
Какие признаки учитываются
NodeRoute смотрит на:
- HTTP-код `401/403/406/409/418/429/451`;
- заголовки `cf-ray`, `retry-after`, `x-datadome`, `x-sucuri`, `x-iinfo`;
- `Server: cloudflare`, Akamai/Fastly/Sucuri/Imperva-признаки;
- текст ответа: `captcha`, `challenge`, `verify you are human`, `too many requests`, `access denied`, `whoa there, pardner`.
Что это значит для владельца сайта
Это хороший сигнал, если:
- реальные пользователи не жалуются;
- поисковые роботы не заблокированы;
- monitoring/uptime checks настроены через allowlist или browser probe;
- WAF rules не ломают легальный трафик.
Это проблема, если:
- обычные пользователи массово видят captcha;
- Яндекс/Googlebot не могут индексировать сайт;
- health checks и платёжные webhook'и получают 403/429;
- scanner не может проверить даже базовую доступность с разрешения владельца.
Как проверить точнее
1. Откройте сайт обычным браузером из нужного региона. 2. Проверьте доступность через monitoring node с allowlist. 3. Посмотрите WAF/CDN events за время проверки. 4. Настройте отдельный read-only endpoint для мониторинга, если это допустимо. 5. Для enterprise-сайтов используйте browser-based synthetic check.
Чего не делать
- Не обходите captcha без разрешения.
- Не пытайтесь brute force bot protection.
- Не отключайте WAF полностью ради отчёта.
- Не считайте challenge доказательством уязвимости.
Связанные проверки
- [Safe Active Diagnostics](/kb/monitoring/safe-active-diagnostics)
- [WAF Detection](/kb/web_app_security/waf-detection)
- [Rate limit and abuse boundaries](/kb/web_app_security/rate-limit-abuse-boundaries)