FixVibe

// docs / scans

Scan-Typen

FixVibe führt drei Arten von Scans gegen drei Arten von Zielen aus. Jede Variante hat andere Freigaben, eine andere Geschwindigkeit und einen anderen Wirkungsbereich. Wähle die, die zu deinem Test passt.

Passiv

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Weil er read-only ist, kann ein passiver Scan gegen jede URL laufen: keine Domain-Verifizierung, keine Attestation. Der Kompromiss ist die Tiefe: Passiv übersieht alles, was nur durch das Senden von Eingaben entdeckt werden kann.

Was passive Scans finden

  • Fehlende Security-Header (HSTS, CSP, frame-options usw.).
  • Unsichere Cookie-Attribute (kein Secure / HttpOnly / SameSite).
  • Schwache TLS-Konfiguration, abgelaufene Zertifikate, fehlendes HSTS preload.
  • Secrets in JS bundles (Supabase service keys, AWS keys, Stripe sk_ usw.).
  • Offengelegte Source Maps, Debug-Endpunkte, OpenAPI specs, GraphQL introspection.
  • Offenes Supabase RLS / Firebase rules / Clerk-Fehlkonfiguration.
  • DNS (Subdomain takeover, fehlendes SPF/DKIM/DMARC).
  • Threat-intel-Listings (Spamhaus, URLhaus).
  • Veraltete Framework-Versionen mit bekannten CVEs.

Aktiv Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Warum wir das absichern: der Attestation-Ablauf

Aktive Prüfungen können theoretisch Produktion beeinflussen: langsame Antworten, Fehlerspitzen, Müll-Daten in Test-Stores. Wir verlangen von dir:

  1. Domain verifizieren per DNS TXT oder HTTP-Datei (Konto → Domains).
  2. Berechtigung bestätigen: eine einzelne Bestätigung beim Scan-Start, dass du die Erlaubnis hast. Serverseitig mit deiner IP, deinem User-Agent und Zeitstempel versehen; in audit_logs geschrieben.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub-Repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo-Scans schreiben nie in dein Repository und speichern keinen Source Code dauerhaft. Gespeichert wird nur Finding-Evidence. Kontingent: derselbe scansPerMonth-Bucket wie bei URL-Scans.

Per API auslösen

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonyme Einmal-Scans

Auf der Startseite können nicht angemeldete Besucher pro Browser-Session einen einzelnen passiven Scan ausführen. Diese Scans laufen 24 Stunden nach Erstellung ab und können durch Registrierung vor Ablauf in ein echtes Konto migriert werden. Der Auth-Callback hängt den anonymen Scan automatisch an die neue Org an.

Scan-Typen — Docs · FixVibe