Тыпы сканавання

Пасіўнае

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Паколькі яно толькі для чытання, passive можа запускацца супраць любога URL — без пацвярджэння дамена і без attestation. Кампраміс — глыбіня: passive прапускае ўсё, што патрабуе адпраўкі input для выяўлення.

Што ловіць passive

• Адсутныя security headers (HSTS, CSP, frame-options і г.д.).
• Небяспечныя cookie attributes (без Secure / HttpOnly / SameSite).
• Слабая TLS configuration, пратэрмінаваныя certs, адсутны HSTS preload.
• Secrets у JS bundles (Supabase service keys, AWS keys, Stripe sk_ і г.д.).
• Адкрытыя source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
• Адкрытыя Supabase RLS / Firebase rules / Clerk misconfiguration.
• DNS (subdomain takeover, адсутныя SPF/DKIM/DMARC).
• Threat-intel listings (Spamhaus, URLhaus).
• Састарэлыя версіі framework з вядомымі CVEs.

Актыўнае Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Чаму мы гэта абмяжоўваем: attestation flow

Active probes тэарэтычна могуць паўплываць на production — павольныя адказы, spikes памылак, смеццевыя даныя ў test stores. Мы патрабуем:

1. Пацвердзіце дамен праз DNS TXT або HTTP file (Account → Domains).
2. Пацвердзіце аўтарызацыю — адна пацвярджальная дзея ў момант start scan, што ў вас ёсць дазвол. Server-stamped з вашымі IP, user-agent і timestamp; запісваецца ў audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans ніколі не пішуць у ваш repo і не захоўваюць source code — захоўваецца толькі finding evidence. Квота: той самы bucket scansPerMonth, што і для URL scans.

Запуск праз API

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Ананімныя аднаразовыя сканаванні

Home page дазваляе незарэгістраваным наведвальнікам запусціць адно passive scan на browser session. Гэтыя scans заканчваюцца праз 24 гадзіны пасля стварэння і могуць быць перанесены ў сапраўдны акаўнт, калі зарэгістравацца да заканчэння — auth callback аўтаматычна далучыць anonymous scan да new org.