FixVibe

// docs / scans

أنواع الفحص

يشغّل FixVibe ثلاثة أنواع من الفحوص على ثلاثة أنواع من الأهداف. لكل نوع شروط تفعيل وسرعة ونطاق تأثير مختلف — اختر ما يطابق ما تختبره.

سلبي

متوفر في كل طبقة. لا يرسل الفحص السلبي أبدًا مدخلات هجومية مُصممة؛ فهو يجلب URL مثل المتصفح العادي ويتحقق من الاستجابات المشحونة وأصول العميل وBaaS والتعرض وDNS وموقف الأمن العام ضد 260+ passive checks.

لأنه للقراءة فقط، يمكن تشغيل الفحص السلبي على أي عنوان URL — بلا تحقق نطاق ولا إقرار. المقابل هو العمق: يفوّت الفحص السلبي كل ما يتطلب إرسال إدخال لاكتشافه.

ما يلتقطه الفحص السلبي

  • ترويسات الأمان المفقودة (HSTS، وCSP، وframe-options، إلخ).
  • سمات الكوكيز غير الآمنة (غياب Secure / HttpOnly / SameSite).
  • إعداد TLS ضعيف، أو شهادات منتهية، أو HSTS preload مفقود.
  • أسرار في حزم JS (مفاتيح Supabase service، ومفاتيح AWS، وStripe sk_، إلخ).
  • خرائط مصدر مكشوفة، ونقاط نهاية تصحيح، ومواصفات OpenAPI، واستبطان GraphQL.
  • Supabase RLS مفتوح / قواعد Firebase / إعداد Clerk خاطئ.
  • DNS (استحواذ على نطاق فرعي، وSPF/DKIM/DMARC مفقودة).
  • إدراجات استخبارات التهديدات (Spamhaus، وURLhaus).
  • إصدارات أطر عمل قديمة لها CVEs معروفة.

نشط Hobby+

تقوم عمليات الفحص النشطة بإجراء تحقق محدود ضد النطاقات التي تم التحقق منها والتي قمت بترخيصها بشكل صريح. وهي متوفرة في خطة Hobby والمستويات الأعلى (Pro، Unlimited) وهي مصممة لتأكيد السلوك المحفوف بالمخاطر دون نشر وصفات التحقيق الأساسية.

لماذا نقيّده: تدفق الإقرار

يمكن للمجسات النشطة نظريًا أن تؤثر في الإنتاج — بطء استجابات، وارتفاع أخطاء، وبيانات غير مفيدة في مخازن الاختبار. نطلب منك أن:

  1. تتحقق من النطاق عبر DNS TXT أو ملف HTTP (الحساب → النطاقات).
  2. تقرّ بالتفويض — تأكيد واحد عند بدء الفحص يقول إن لديك الإذن. يختمه الخادم بعنوان IP وuser-agent والطابع الزمني؛ ويكتبه إلى audit_logs.

بالنسبة لعمليات إعادة الفحص المجدولة والبدء النشط لـ API/MCP، يتم تسجيل ترخيص النطاق من Dashboard → Domains ويمكن إبطاله في أي وقت. تستخدم عمليات الفحص النشطة التلقائية مستوى الأمان المعتمد لهذا النطاق.

مستودع GitHub Pro+

تتخطى عمليات فحص الريبو مصدر الاختبار والمراجعة URL المنشور من خلال FixVibe GitHub App أو اتصال OAuth الخاص بك. يقومون بالإبلاغ عن مخاطر التعليمات البرمجية عالية الثقة والتبعية وأمان المستودع دون تخزين التعليمات البرمجية المصدر الخاصة بك.

لا تكتب فحوص المستودعات إلى مستودعك ولا تحفظ الشفرة المصدرية أبدًا — يُخزن دليل النتيجة فقط. الحصة: نفس دلو scansPerMonth المستخدم لفحوص URL.

التشغيل عبر API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API وMCP يمكنهم بدء عمليات الفحص السلبي، ويمكنهم بدء عمليات الفحص النشطة للنطاقات التي تم التحقق منها والتي تم ترخيصها بشكل صريح في Dashboard → Domains. المرجع الكامل: /docs/api.

فحوص مجهولة لمرة واحدة

تتيح الصفحة الرئيسية للزوار غير المسجلين تشغيل فحص سلبي واحد لكل جلسة متصفح. تنتهي هذه الفحوص بعد 24 ساعة من إنشائها، ويمكن ترحيلها إلى حساب حقيقي بالتسجيل قبل انتهاء صلاحيتها — يربط استدعاء المصادقة الفحص المجهول تلقائيًا بالمؤسسة الجديدة.

أنواع الفحص — Docs · FixVibe