FixVibe

// docs / scans

Mathau o sgan

Mae FixVibe yn rhedeg tri math o sgan yn erbyn tri math o darged. Mae gan bob un gating gwahanol, cyflymder gwahanol, a radiws effaith gwahanol; dewiswch yr un sy'n cyfateb i'r hyn rydych yn ei brofi.

Goddefol

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Gan ei fod yn read-only, gall goddefol redeg yn erbyn unrhyw URL: dim gwirio parth, dim attestio. Y cyfaddawd yw dyfnder: mae goddefol yn colli popeth sy'n gofyn am anfon input i'w ddarganfod.

Beth mae goddefol yn ei ddal

  • Penawdau diogelwch coll (HSTS, CSP, frame-options, ac ati).
  • Priodweddau cookie anniogel (dim Secure / HttpOnly / SameSite).
  • Cyfluniad TLS gwan, tystysgrifau wedi dod i ben, HSTS preload coll.
  • Cyfrinachau mewn JS bundles (Supabase service keys, AWS keys, Stripe sk_, ac ati).
  • Source maps agored, endpoints debug, manylebau OpenAPI, GraphQL introspection.
  • Supabase RLS / Firebase rules / Clerk camgyflunio agored.
  • DNS (subdomain takeover, SPF/DKIM/DMARC coll).
  • Rhestrau threat-intel (Spamhaus, URLhaus).
  • Fersiynau framework hen gyda CVEs hysbys.

Gweithredol Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Pam rydym yn ei gyfyngu: y llif attestio

Gall probau gweithredol effeithio ar gynhyrchu mewn theori: ymatebion araf, pigau gwall, data sbwriel mewn storfeydd prawf. Rydym yn mynnu eich bod yn:

  1. Gwirio'r parth drwy DNS TXT neu ffeil HTTP (Account → Domains).
  2. Attestio awdurdodiad — un cadarnhad ar adeg dechrau'r sgan yn dweud bod gennych ganiatâd. Wedi'i stampio gan y gweinydd gyda'ch IP, user-agent, a timestamp; wedi'i ysgrifennu i audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repository GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Nid yw sganiau repo byth yn ysgrifennu i'ch repo ac nid ydynt byth yn cadw cod ffynhonnell: dim ond tystiolaeth canfyddiadau sy'n cael ei storio. Cwota: yr un bucket scansPerMonth â sganiau URL.

Sbarduno drwy API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Sganiau dienw un-tro

Mae'r hafan yn gadael i ymwelwyr heb gofrestru redeg un sgan goddefol fesul sesiwn porwr. Mae'r sganiau hyn yn dod i ben 24 awr ar ôl eu creu a gellir eu mudo i gyfrif go iawn drwy gofrestru cyn iddynt ddod i ben; mae'r auth callback yn atodi'r sgan dienw i'r org newydd yn awtomatig.

Mathau o sgan — Docs · FixVibe