FixVibe

// docs / scans

Skannimistüübid

FixVibe käivitab kolme tüüpi skannimisi kolme tüüpi sihtmärkide vastu. Igal neist on erinev lukustus, kiirus ja mõjuraadius, seega vali see, mis vastab sinu testile.

Passiivne

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Kuna see on ainult lugemiseks, saab passiivset skannimist käivitada mis tahes URL-i vastu: domeeni kinnitamist ega tõendamist pole vaja. Kompromiss on sügavus: passiivne režiim jätab vahele kõik, mille avastamiseks tuleb sisendit saata.

Mida passiivne skannimine leiab

  • Puuduvad turvapäised (HSTS, CSP, frame-options jne).
  • Ebaturvalised küpsise atribuudid (puudub Secure / HttpOnly / SameSite).
  • Nõrk TLS konfiguratsioon, aegunud sertifikaadid, puuduv HSTS preload.
  • Saladused JS pakettides (Supabase service keys, AWS keys, Stripe sk_ jne).
  • Avalikud source maps, silumise endpoint'id, OpenAPI spetsifikatsioonid, GraphQL introspection.
  • Avatud Supabase RLS / Firebase reeglid / Clerk valeseadistus.
  • DNS (alamdomeeni ülevõtt, puuduv SPF/DKIM/DMARC).
  • Threat-intel nimekirjad (Spamhaus, URLhaus).
  • Aegunud raamistiku versioonid teadaolevate CVE-dega.

Aktiivne Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Miks me seda piirame: tõendusvoog

Aktiivsed sondid võivad teoreetiliselt produktsiooni mõjutada: aeglased vastused, veatõusud, prügiandmed testhoidlates. Nõuame, et:

  1. Kinnitaksite domeeni DNS TXT või HTTP faili kaudu (Konto → Domeenid).
  2. Tõendaksite volituse — üks kinnituskord skannimise alguses, et teil on luba. Server lisab IP, user-agent'i ja ajatembli; kirjutatakse audit_logs tabelisse.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repositoorium Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo skannimised ei kirjuta kunagi sinu reposse ega säilita lähtekoodi; salvestatakse ainult leiu tõendid. Kvoot: sama scansPerMonth ämber nagu URL-i skannimistel.

Käivita API kaudu

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonüümsed ühekordsed skannimised

Avaleht lubab sisselogimata külastajatel käivitada ühe passiivse skannimise brauseriseansi kohta. Need skannimised aeguvad 24 tundi pärast loomist ja neid saab enne aegumist registreerudes päriskontole migreerida; auth callback seob anonüümse skannimise automaatselt uue organisatsiooniga.

Skannimistüübid — Docs · FixVibe