FixVibe

// docs / scans

Skan növləri

FixVibe üç növ hədəfə qarşı üç növ skan işlədir. Hər birinin gating-i, sürəti və blast radius-u fərqlidir — test etdiyinizə uyğun olanı seçin.

Passiv

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Read-only olduğu üçün passive istənilən URL-ə qarşı işləyə bilər — domain verification və attestation yoxdur. Kompromis dərinlikdir: passive aşkarlamaq üçün input göndərilməsi lazım olan hər şeyi qaçırır.

Passive nə tutur

  • Çatışmayan security headers (HSTS, CSP, frame-options və s.).
  • Təhlükəsiz olmayan cookie attributes (Secure / HttpOnly / SameSite yoxdur).
  • Zəif TLS configuration, vaxtı keçmiş certs, çatışmayan HSTS preload.
  • JS bundles-də secrets (Supabase service keys, AWS keys, Stripe sk_ və s.).
  • Açıq source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
  • Açıq Supabase RLS / Firebase rules / Clerk misconfiguration.
  • DNS (subdomain takeover, çatışmayan SPF/DKIM/DMARC).
  • Threat-intel siyahıları (Spamhaus, URLhaus).
  • Tanınmış CVEs olan köhnəlmiş framework versions.

Aktiv Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Niyə məhdudlaşdırırıq: attestation flow

Aktiv zondlar nəzəri olaraq production-a təsir edə bilər — slow responses, error spikes, test stores-da garbage data. Sizdən tələb edirik:

  1. Domeni təsdiqləyin DNS TXT və ya HTTP file vasitəsilə (Account → Domains).
  2. İcazəni attest edin — scan-start vaxtı icazəniz olduğunu deyən tək confirmation. IP, user-agent və timestamp ilə server-stamped olur; audit_logs-a yazılır.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans repo-nuza heç vaxt yazmır və source code-u heç vaxt saxlamır — yalnız finding evidence saxlanılır. Quota: URL scans ilə eyni scansPerMonth bucket.

API ilə işə salın

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonim birdəfəlik skanlar

Ana səhifə unsigned-up visitors-a hər browser session üçün bir passive scan işlətməyə imkan verir. Bu scans yaradıldıqdan 24 saat sonra expire olur və expire olmadan qeydiyyatdan keçsəniz real account-a migrate edilə bilər — auth callback anonymous scan-i avtomatik yeni org-a bağlayır.

Skan növləri — Docs · FixVibe