FixVibe

// docs / scans

Tipos de escaneo

FixVibe ejecuta tres tipos de escaneos contra tres tipos de objetivos. Cada uno tiene controles de acceso, velocidad y radio de impacto distintos; elige el que coincida con lo que estás probando.

Pasivo

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Como es de solo lectura, el pasivo puede correr contra cualquier URL: sin verificación de dominio ni certificación. El intercambio es la profundidad: el pasivo no detecta todo lo que requiere enviar entrada para descubrirse.

Qué detecta el pasivo

  • Headers de seguridad faltantes (HSTS, CSP, frame-options, etc.).
  • Atributos de cookies inseguros (sin Secure / HttpOnly / SameSite).
  • Configuración TLS débil, certificados vencidos, falta de preload de HSTS.
  • Secretos en bundles JS (service keys de Supabase, claves AWS, Stripe sk_, etc.).
  • Source maps expuestos, endpoints de debug, specs OpenAPI, introspección GraphQL.
  • Supabase RLS abierto / reglas de Firebase / mala configuración de Clerk.
  • DNS (toma de subdominios, SPF/DKIM/DMARC faltantes).
  • Listados de threat-intel (Spamhaus, URLhaus).
  • Versiones de frameworks desactualizadas con CVE conocidas.

Activo Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Por qué lo controlamos: el flujo de certificación

Las sondas activas pueden afectar producción en teoría: respuestas lentas, picos de errores, datos basura en almacenes de prueba. Te pedimos que:

  1. Verifiques el dominio mediante DNS TXT o un archivo HTTP (Account → Domains).
  2. Certifiques la autorización: una confirmación única al iniciar el escaneo que indica que tienes permiso. Se sella en el servidor con tu IP, user-agent y timestamp; se escribe en audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repositorio de GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Los escaneos de repositorio nunca escriben en tu repo y nunca persisten código fuente; solo se almacena la evidencia de los hallazgos. Cuota: el mismo bucket scansPerMonth que los escaneos de URL.

Disparar vía API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Escaneos anónimos de una sola vez

La página de inicio permite que visitantes sin cuenta ejecuten un único escaneo pasivo por sesión de navegador. Estos escaneos vencen 24 horas después de crearse y pueden migrarse a una cuenta real si te registras antes de que venzan; el callback de auth adjunta automáticamente el escaneo anónimo a la nueva org.

Tipos de escaneo — Docs · FixVibe