أنواع الفحص

سلبي

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

لأنه للقراءة فقط، يمكن تشغيل الفحص السلبي على أي عنوان URL — بلا تحقق نطاق ولا إقرار. المقابل هو العمق: يفوّت الفحص السلبي كل ما يتطلب إرسال إدخال لاكتشافه.

ما يلتقطه الفحص السلبي

• ترويسات الأمان المفقودة (HSTS، وCSP، وframe-options، إلخ).
• سمات الكوكيز غير الآمنة (غياب Secure / HttpOnly / SameSite).
• إعداد TLS ضعيف، أو شهادات منتهية، أو HSTS preload مفقود.
• أسرار في حزم JS (مفاتيح Supabase service، ومفاتيح AWS، وStripe sk_، إلخ).
• خرائط مصدر مكشوفة، ونقاط نهاية تصحيح، ومواصفات OpenAPI، واستبطان GraphQL.
• Supabase RLS مفتوح / قواعد Firebase / إعداد Clerk خاطئ.
• DNS (استحواذ على نطاق فرعي، وSPF/DKIM/DMARC مفقودة).
• إدراجات استخبارات التهديدات (Spamhaus، وURLhaus).
• إصدارات أطر عمل قديمة لها CVEs معروفة.

نشط Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

لماذا نقيّده: تدفق الإقرار

يمكن للمجسات النشطة نظريًا أن تؤثر في الإنتاج — بطء استجابات، وارتفاع أخطاء، وبيانات غير مفيدة في مخازن الاختبار. نطلب منك أن:

1. تتحقق من النطاق عبر DNS TXT أو ملف HTTP (الحساب → النطاقات).
2. تقرّ بالتفويض — تأكيد واحد عند بدء الفحص يقول إن لديك الإذن. يختمه الخادم بعنوان IP وuser-agent والطابع الزمني؛ ويكتبه إلى audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

مستودع GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

لا تكتب فحوص المستودعات إلى مستودعك ولا تحفظ الشفرة المصدرية أبدًا — يُخزن دليل النتيجة فقط. الحصة: نفس دلو scansPerMonth المستخدم لفحوص URL.

التشغيل عبر API

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

فحوص مجهولة لمرة واحدة

تتيح الصفحة الرئيسية للزوار غير المسجلين تشغيل فحص سلبي واحد لكل جلسة متصفح. تنتهي هذه الفحوص بعد 24 ساعة من إنشائها، ويمكن ترحيلها إلى حساب حقيقي بالتسجيل قبل انتهاء صلاحيتها — يربط استدعاء المصادقة الفحص المجهول تلقائيًا بالمؤسسة الجديدة.