// docs / scans

Skanderingstipes

FixVibe voer drie soorte skanderings teen drie soorte teikens uit. Elkeen het ander toegangshekke, ander spoed, en ’n ander impakradius; kies die een wat pas by wat jy toets.

Passief

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Omdat dit leesalleen is, kan passief teen enige URL loop: geen domeinverifikasie, geen attestering. Die ruil is diepte: passief mis alles wat vereis dat insette gestuur word om dit te ontdek.

Wat passief vang

Ontbrekende sekuriteitskoptekste (HSTS, CSP, frame-options, ens.).
Onveilige cookie-attribute (geen Secure / HttpOnly / SameSite).
Swak TLS-konfigurasie, vervalde sertifikate, ontbrekende HSTS preload.
Geheime in JS-bundels (Supabase service keys, AWS keys, Stripe sk_, ens.).
Blootgestelde source maps, debug-eindpunte, OpenAPI-spesifikasies, GraphQL introspection.
Oop Supabase RLS / Firebase rules / Clerk-wankonfigurasie.
DNS (subdomain takeover, ontbrekende SPF/DKIM/DMARC).
Threat-intel-lyste (Spamhaus, URLhaus).
Verouderde framework-weergawes met bekende CVEs.

Aktief Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Waarom ons dit beperk: die attesteringvloei

Aktiewe probes kan teoreties produksie raak: stadige antwoorde, foutpieke, gemorsdata in toetsdatastores. Ons vereis dat jy:

Die domein verifieer via DNS TXT of ’n HTTP file (Account → Domains).
Magtiging attesteer: ’n enkele bevestiging by skanderingbegin wat sê jy het toestemming. Server-gestempel met jou IP, user-agent, en tydstempel; geskryf na audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub-repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo-skanderings skryf nooit na jou repo nie en hou nooit bronkode aan nie; net bevindingbewyse word gestoor. Kwota: dieselfde scansPerMonth-emmer as URL-skanderings.

Sneller via API

curl

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonieme eenmalige skanderings

Die tuisblad laat besoekers wat nog nie aangemeld het nie een passiewe skandering per blaaiersessie loop. Hierdie skanderings verval 24 uur ná skepping en kan na ’n regte rekening geskuif word deur aan te meld voordat hulle verval; die auth-callback koppel die anonieme skandering outomaties aan die nuwe org.