// docs / scans
Tipos de escaneo
FixVibe ejecuta tres tipos de escaneos contra tres tipos de objetivos. Cada uno tiene controles de acceso, velocidad y radio de impacto distintos; elige el que coincida con lo que estás probando.
Pasivo
Disponible en todos los niveles. Un escaneo pasivo nunca envía entradas de ataque diseñadas; recupera URL como un navegador normal y verifica las respuestas enviadas, los activos del cliente, la exposición de BaaS, DNS y la postura de seguridad pública frente a 260+ passive checks.
Como es de solo lectura, el pasivo puede correr contra cualquier URL: sin verificación de dominio ni certificación. El intercambio es la profundidad: el pasivo no detecta todo lo que requiere enviar entrada para descubrirse.
Qué detecta el pasivo
- Headers de seguridad faltantes (HSTS, CSP, frame-options, etc.).
- Atributos de cookies inseguros (sin Secure / HttpOnly / SameSite).
- Configuración TLS débil, certificados vencidos, falta de preload de HSTS.
- Secretos en bundles JS (service keys de Supabase, claves AWS, Stripe sk_, etc.).
- Source maps expuestos, endpoints de debug, specs OpenAPI, introspección GraphQL.
- Supabase RLS abierto / reglas de Firebase / mala configuración de Clerk.
- DNS (toma de subdominios, SPF/DKIM/DMARC faltantes).
- Listados de threat-intel (Spamhaus, URLhaus).
- Versiones de frameworks desactualizadas con CVE conocidas.
Activo Hobby+
Los análisis activos realizan una verificación limitada de los dominios verificados que haya autorizado explícitamente. Están disponibles en el plan Hobby y niveles superiores (Pro, Unlimited) y están diseñados para confirmar comportamientos riesgosos sin publicar las recetas de sonda subyacentes.
Por qué lo controlamos: el flujo de certificación
Las sondas activas pueden afectar producción en teoría: respuestas lentas, picos de errores, datos basura en almacenes de prueba. Te pedimos que:
- Verifiques el dominio mediante DNS TXT o un archivo HTTP (Account → Domains).
- Certifiques la autorización: una confirmación única al iniciar el escaneo que indica que tienes permiso. Se sella en el servidor con tu IP, user-agent y timestamp; se escribe en
audit_logs.
Para nuevos análisis programados y API/MCP inicios activos, la autorización del dominio se registra desde Dashboard → Domains y se puede revocar en cualquier momento. Los análisis activos automatizados utilizan el nivel de seguridad autorizado para ese dominio.
Repositorio de GitHub Pro+
Los análisis de repositorio omiten las pruebas URL implementadas y revisan el origen a través de la conexión FixVibe GitHub App o OAuth. Informan sobre códigos de alta confianza, dependencias y riesgos de seguridad del repositorio sin almacenar el código fuente.
Los escaneos de repositorio nunca escriben en tu repo y nunca persisten código fuente; solo se almacena la evidencia de los hallazgos. Cuota: el mismo bucket scansPerMonth que los escaneos de URL.
Disparar vía API
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API y MCP pueden iniciar análisis pasivos y pueden iniciar análisis activos para dominios verificados que hayan sido autorizados explícitamente en Dashboard → Domains. Referencia completa: /docs/api.
Escaneos anónimos de una sola vez
La página de inicio permite que visitantes sin cuenta ejecuten un único escaneo pasivo por sesión de navegador. Estos escaneos vencen 24 horas después de crearse y pueden migrarse a una cuenta real si te registras antes de que venzan; el callback de auth adjunta automáticamente el escaneo anónimo a la nueva org.
