FixVibe

// docs / scans

Tipus d’escaneig

FixVibe executa tres tipus d’escaneigs contra tres tipus d’objectius. Cada un té requisits, velocitat i abast d’impacte diferents; tria el que encaixi amb el que vols provar.

Passiu

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Com que és només de lectura, el passiu pot executar-se contra qualsevol URL: sense verificació de domini ni acreditació. El compromís és la profunditat: el passiu no veu tot allò que requereix enviar entrada per descobrir-ho.

Què detecta el passiu

  • Capçaleres de seguretat que falten (HSTS, CSP, frame-options, etc.).
  • Atributs de cookie insegurs (sense Secure / HttpOnly / SameSite).
  • Configuració TLS feble, certificats caducats o preload HSTS absent.
  • Secrets en bundles JS (claus de servei Supabase, claus AWS, Stripe sk_, etc.).
  • Source maps exposats, endpoints de depuració, especificacions OpenAPI i introspecció GraphQL.
  • Supabase RLS obert, regles Firebase obertes o mala configuració de Clerk.
  • DNS (presa de subdomini, SPF/DKIM/DMARC absent).
  • Llistats de threat intel (Spamhaus, URLhaus).
  • Versions de frameworks desactualitzades amb CVE coneguts.

Actiu Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Per què ho restringim: el flux d’acreditació

Les sondes actives podrien afectar teòricament producció: respostes lentes, pics d’errors o dades brossa en entorns de prova. Et demanem que:

  1. Verifiquis el domini mitjançant DNS TXT o un fitxer HTTP (Compte → Dominis).
  2. Acreditis l’autorització: una confirmació única en iniciar l’escaneig que tens permís. Queda segellada al servidor amb la teva IP, user-agent i marca temporal, i s’escriu a audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repositori GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Els escaneigs de repositori no escriuen mai al teu repo ni conserven el codi font; només s’emmagatzema l’evidència de les troballes. Quota: el mateix cubell scansPerMonth que els escaneigs d’URL.

Activació via API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Escaneigs anònims d’un sol ús

La pàgina inicial permet als visitants no registrats executar un únic escaneig passiu per sessió de navegador. Aquests escaneigs caduquen 24 hores després de crear-se i es poden migrar a un compte real si t’hi registres abans que caduquin; el callback d’autenticació associa automàticament l’escaneig anònim a la nova organització.

Tipus d’escaneig — Docs · FixVibe