Eskaneatze motak

Pasiboa

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Irakurketa hutsekoa denez, pasiboa edozein URLren aurka exekuta daiteke: domeinu-egiaztapenik gabe, attestaziorik gabe. Trukea sakontasuna da: pasiboak ez du aurkituko inputa bidaltzea eskatzen duen ezer.

Zer harrapatzen duen pasiboak

• Segurtasun-goiburu falta (HSTS, CSP, frame-options, etab.).
• Cookie atributu ez-seguruak (Secure / HttpOnly / SameSite gabe).
• TLS konfigurazio ahula, iraungitako ziurtagiriak, HSTS preload falta.
• JS bundleetan sekretuak (Supabase service keys, AWS keys, Stripe sk_, etab.).
• Ageriko source map-ak, debug endpointak, OpenAPI espezifikazioak, GraphQL introspection.
• Irekita dauden Supabase RLS / Firebase rules / Clerk konfigurazio okerrak.
• DNS (subdomain takeover, SPF/DKIM/DMARC falta).
• Threat-intel zerrendak (Spamhaus, URLhaus).
• Ezagutzen diren CVEak dituzten framework bertsio zaharkituak.

Aktiboa Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Zergatik mugatzen dugun: attestazio-fluxua

Zunda aktiboek teorian ekoizpena eragin dezakete: erantzun motelak, errore-gorakadak, zabor datuak test biltegietan. Hau eskatzen dugu:

1. Egiaztatu domeinua DNS TXT edo HTTP fitxategi baten bidez (Account → Domains).
2. Attestatu baimena — eskaneatzea hastean egiten den baieztapen bakarra, baimena duzula esanez. Zerbitzariak zure IPa, user-agent-a eta denbora-zigilua eransten ditu; audit_logs taulan idazten da.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo eskaneatzeek ez dute inoiz zure repoan idazten eta ez dute iturburu-koderik iraunkorki gordetzen; aurkikuntzaren ebidentzia bakarrik gordetzen da. Kuota: URL eskaneatzeen scansPerMonth bucket bera.

Abiarazi API bidez

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Saio bakarreko eskaneatze anonimoak

Hasierako orriak izena eman gabeko bisitariei nabigatzaile-saio bakoitzeko eskaneatze pasibo bakarra exekutatzen uzten die. Eskaneatze horiek sortu eta 24 ordura iraungitzen dira, eta iraungi aurretik izena emanez benetako kontu batera migra daitezke; auth callbackak automatikoki lotzen dio eskaneatze anonimoa org berriari.