FixVibe

// docs / scans

Τύποι σαρώσεων

Το FixVibe εκτελεί τρία είδη σαρώσεων σε τρία είδη στόχων. Κάθε είδος έχει διαφορετικό έλεγχο πρόσβασης, διαφορετική ταχύτητα και διαφορετικό εύρος επίδρασης — διάλεξε αυτό που ταιριάζει σε αυτό που δοκιμάζεις.

Παθητική

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Επειδή είναι read-only, η παθητική σάρωση μπορεί να τρέξει σε οποιοδήποτε URL — χωρίς επαλήθευση domain, χωρίς βεβαίωση. Το αντάλλαγμα είναι το βάθος: η παθητική σάρωση χάνει ό,τι απαιτεί αποστολή input για να ανακαλυφθεί.

Τι πιάνει η παθητική σάρωση

  • Ελλιπή security headers (HSTS, CSP, frame-options κ.λπ.).
  • Μη ασφαλή cookie attributes (χωρίς Secure / HttpOnly / SameSite).
  • Αδύναμη ρύθμιση TLS, ληγμένα certs, ελλιπές HSTS preload.
  • Μυστικά σε JS bundles (Supabase service keys, AWS keys, Stripe sk_ κ.λπ.).
  • Εκτεθειμένα source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
  • Ανοιχτό Supabase RLS / Firebase rules / λανθασμένη ρύθμιση Clerk.
  • DNS (subdomain takeover, ελλιπή SPF/DKIM/DMARC).
  • Καταχωρίσεις threat-intel (Spamhaus, URLhaus).
  • Παρωχημένες εκδόσεις framework με γνωστά CVEs.

Ενεργή Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Γιατί το περιορίζουμε: η ροή βεβαίωσης

Οι ενεργοί έλεγχοι μπορούν θεωρητικά να επηρεάσουν την παραγωγή — αργές αποκρίσεις, αιχμές σφαλμάτων, άχρηστα δεδομένα σε test stores. Απαιτούμε να:

  1. Επαληθεύσεις το domain μέσω DNS TXT ή HTTP file (Λογαριασμός → Domains).
  2. Βεβαιώσεις εξουσιοδότηση — μία επιβεβαίωση στην έναρξη της σάρωσης ότι έχεις άδεια. Σφραγίζεται server-side με IP, user-agent και timestamp· γράφεται στο audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Οι σαρώσεις repo δεν γράφουν ποτέ στο repo σου και δεν αποθηκεύουν ποτέ πηγαίο κώδικα — αποθηκεύεται μόνο evidence ευρημάτων. Ποσόστωση: ο ίδιος κάδος scansPerMonth με τις σαρώσεις URL.

Εκκίνηση μέσω API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Ανώνυμες εφάπαξ σαρώσεις

Η αρχική σελίδα επιτρέπει σε επισκέπτες χωρίς εγγραφή να τρέξουν μία παθητική σάρωση ανά browser session. Αυτές οι σαρώσεις λήγουν 24 ώρες μετά τη δημιουργία και μπορούν να μεταφερθούν σε πραγματικό λογαριασμό αν κάνεις εγγραφή πριν λήξουν — το auth callback συνδέει αυτόματα την ανώνυμη σάρωση με το νέο org.

Τύποι σαρώσεων — Docs · FixVibe