FixVibe

// docs / scans

Typy skenů

FixVibe spouští tři druhy skenů na třech druzích cílů. Každý má jiné požadavky, jinou rychlost a jiný dosah — vyber ten, který odpovídá tomu, co testuješ.

Pasivní

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Protože je jen pro čtení, pasivní sken může běžet proti libovolné URL — bez ověření domény a bez atestace. Kompromisem je hloubka: pasivní sken mine vše, co k odhalení vyžaduje odeslat vstup.

Co pasivní sken zachytí

  • Chybějící bezpečnostní hlavičky (HSTS, CSP, frame-options atd.).
  • Nezabezpečené atributy cookies (bez Secure / HttpOnly / SameSite).
  • Slabá konfigurace TLS, prošlé certifikáty, chybějící HSTS preload.
  • Tajemství v JS bundlech (service role klíče Supabase, AWS klíče, Stripe sk_ atd.).
  • Odhalené source mapy, debug endpointy, OpenAPI specifikace, GraphQL introspekce.
  • Otevřené Supabase RLS / pravidla Firebase / špatná konfigurace Clerk.
  • DNS (převzetí subdomény, chybějící SPF/DKIM/DMARC).
  • Záznamy threat-intel (Spamhaus, URLhaus).
  • Zastaralé verze frameworků se známými CVE.

Aktivní Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Proč to omezujeme: tok atestace

Aktivní sondy mohou teoreticky ovlivnit produkci — pomalé odpovědi, nárůsty chyb, odpadní data v testovacích úložištích. Vyžadujeme, abys:

  1. Ověřil doménu přes DNS TXT nebo HTTP soubor (Účet → Domény).
  2. Potvrdil oprávnění — jedno potvrzení při startu skenu, že máš povolení. Server k němu uloží IP, user-agent a časové razítko; zapisuje se do audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repozitář GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Skeny repozitářů nikdy nezapisují do tvého repo a nikdy neukládají zdrojový kód — ukládají se jen důkazy nálezů. Kvóta: stejný koš scansPerMonth jako u URL skenů.

Spuštění přes API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonymní jednorázové skeny

Domovská stránka dovoluje nepřihlášeným návštěvníkům spustit jeden pasivní sken na relaci prohlížeče. Tyto skeny vyprší 24 hodin po vytvoření a můžeš je převést do skutečného účtu, pokud se zaregistruješ před vypršením — auth callback anonymní sken automaticky připojí k nové organizaci.

Typy skenů — Docs · FixVibe