// docs / scans
Scan-Typen
FixVibe führt drei Arten von Scans gegen drei Arten von Zielen aus. Jede Variante hat andere Freigaben, eine andere Geschwindigkeit und einen anderen Wirkungsbereich. Wähle die, die zu deinem Test passt.
Passiv
Verfügbar auf jeder Stufe. Ein passiver Scan sendet niemals manipulierte Angriffseingaben; Es ruft das URL wie ein normaler Browser ab und prüft versendete Antworten, Client-Assets, BaaS Gefährdung, DNS und den Status der öffentlichen Sicherheit anhand von 260+ passive checks.
Weil er read-only ist, kann ein passiver Scan gegen jede URL laufen: keine Domain-Verifizierung, keine Attestation. Der Kompromiss ist die Tiefe: Passiv übersieht alles, was nur durch das Senden von Eingaben entdeckt werden kann.
Was passive Scans finden
- Fehlende Security-Header (HSTS, CSP, frame-options usw.).
- Unsichere Cookie-Attribute (kein Secure / HttpOnly / SameSite).
- Schwache TLS-Konfiguration, abgelaufene Zertifikate, fehlendes HSTS preload.
- Secrets in JS bundles (Supabase service keys, AWS keys, Stripe sk_ usw.).
- Offengelegte Source Maps, Debug-Endpunkte, OpenAPI specs, GraphQL introspection.
- Offenes Supabase RLS / Firebase rules / Clerk-Fehlkonfiguration.
- DNS (Subdomain takeover, fehlendes SPF/DKIM/DMARC).
- Threat-intel-Listings (Spamhaus, URLhaus).
- Veraltete Framework-Versionen mit bekannten CVEs.
Aktiv Hobby+
Aktive Scans führen eine begrenzte Überprüfung anhand verifizierter Domänen durch, die Sie ausdrücklich autorisiert haben. Sie sind im Hobby-Plan und höheren Stufen (Pro, Unlimited) verfügbar und sollen riskantes Verhalten bestätigen, ohne die zugrunde liegenden Sondenrezepte zu veröffentlichen.
Warum wir das absichern: der Attestation-Ablauf
Aktive Prüfungen können theoretisch Produktion beeinflussen: langsame Antworten, Fehlerspitzen, Müll-Daten in Test-Stores. Wir verlangen von dir:
- Domain verifizieren per DNS TXT oder HTTP-Datei (Konto → Domains).
- Berechtigung bestätigen: eine einzelne Bestätigung beim Scan-Start, dass du die Erlaubnis hast. Serverseitig mit deiner IP, deinem User-Agent und Zeitstempel versehen; in
audit_logsgeschrieben.
Bei geplanten erneuten Scans und API/MCP aktiven Starts wird die Domänenautorisierung ab Dashboard → Domains aufgezeichnet und kann jederzeit widerrufen werden. Automatisierte aktive Scans verwenden die autorisierte Sicherheitsstufe für diese Domäne.
GitHub-Repository Pro+
Repo-Scans überspringen bereitgestellte URL-Test- und Überprüfungsquellen über die FixVibe GitHub App- oder Ihre OAuth-Verbindung. Sie melden hochvertrauliche Code-, Abhängigkeits- und Repository-Sicherheitsrisiken, ohne Ihren Quellcode zu speichern.
Repo-Scans schreiben nie in dein Repository und speichern keinen Source Code dauerhaft. Gespeichert wird nur Finding-Evidence. Kontingent: derselbe scansPerMonth-Bucket wie bei URL-Scans.
Per API auslösen
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API und MCP können passive Scans starten und können aktive Scans für verifizierte Domänen starten, die in Dashboard → Domains explizit autorisiert wurden. Vollständige Referenz: /docs/api.
Anonyme Einmal-Scans
Auf der Startseite können nicht angemeldete Besucher pro Browser-Session einen einzelnen passiven Scan ausführen. Diese Scans laufen 24 Stunden nach Erstellung ab und können durch Registrierung vor Ablauf in ein echtes Konto migriert werden. Der Auth-Callback hängt den anonymen Scan automatisch an die neue Org an.
