FixVibe

// docs / scans

Типове сканиране

FixVibe изпълнява три вида сканирания срещу три вида цели. Всяко има различно gating поведение, различна скорост и различен blast radius: избери това, което съответства на теста ти.

Пасивно

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Понеже е read-only, пасивното може да се изпълнява срещу всеки URL: без проверка на домейн, без attest. Компромисът е дълбочината: пасивното пропуска всичко, което изисква изпращане на input, за да бъде открито.

Какво хваща пасивното сканиране

  • Липсващи security headers (HSTS, CSP, frame-options и др.).
  • Несигурни cookie attributes (без Secure / HttpOnly / SameSite).
  • Слаба TLS конфигурация, изтекли сертификати, липсващ HSTS preload.
  • Secrets в JS bundles (Supabase service keys, AWS keys, Stripe sk_ и др.).
  • Изложени source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
  • Отворен Supabase RLS / Firebase rules / Clerk misconfiguration.
  • DNS (subdomain takeover, липсващ SPF/DKIM/DMARC).
  • Записи в източници за заплахи (Spamhaus, URLhaus).
  • Остарели framework версии с известни CVE.

Активно Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Защо го ограничаваме: потокът за attestation

Активните проверки теоретично могат да засегнат production: бавни отговори, spike-ове в грешките, garbage data в test stores. Изискваме да:

  1. Потвърдиш домейна чрез DNS TXT или HTTP файл (Account → Domains).
  2. Удостовериш разрешение: едно потвърждение при start на сканирането, че имаш permission. Server-stamped с IP, user-agent и timestamp; записано в audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub хранилище Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo сканиранията никога не пишат в repo-то ти и никога не persist-ват source code: съхранява се само evidence за откритите проблеми. Квота: същият bucket scansPerMonth като URL сканиранията.

Задействай чрез API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Анонимни еднократни сканирания

Началната страница позволява на нерегистрирани посетители да стартират едно пасивно сканиране за browser session. Тези сканирания изтичат 24 часа след създаване и могат да бъдат мигрирани към реален акаунт чрез регистрация преди да изтекат: auth callback-ът автоматично закача анонимното сканиране към новата организация.

Типове сканиране — Docs · FixVibe