FixVibe

// docs / scans

نوع‌های اسکن

FixVibe سه نوع اسکن را روی سه نوع هدف اجرا می‌کند. هرکدام gating، سرعت، و دامنه اثر متفاوتی دارند؛ گزینه‌ای را انتخاب کنید که با چیزی که می‌خواهید تست کنید جور است.

Passive

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

چون read-only است، passive می‌تواند روی هر URL اجرا شود؛ بدون domain verification و بدون attestation. مصالحه در عمق است: passive هر چیزی را که برای کشفش نیاز به ارسال input دارد از دست می‌دهد.

Passive چه چیزهایی را می‌گیرد

  • headerهای امنیتیِ missing (HSTS، CSP، frame-options، و غیره).
  • attributeهای ناامن cookie (بدون Secure / HttpOnly / SameSite).
  • پیکربندی ضعیف TLS، certificateهای منقضی، HSTS preload missing.
  • secretها در JS bundleها (کلیدهای service در Supabase، کلیدهای AWS، Stripe sk_، و غیره).
  • source mapهای exposed، endpointهای debug، specهای OpenAPI، introspection در GraphQL.
  • Supabase RLS باز / ruleهای Firebase / misconfiguration در Clerk.
  • DNS (subdomain takeover، SPF/DKIM/DMARC missing).
  • فهرست‌های threat-intel (Spamhaus، URLhaus).
  • نسخه‌های قدیمی framework با CVEهای شناخته‌شده.

Active Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

چرا محدودش می‌کنیم: جریان attestation

پروب‌های active از نظر تئوری می‌توانند روی production اثر بگذارند: پاسخ‌های کند، جهش خطا، داده garbage در test storeها. از شما می‌خواهیم:

  1. دامنه را تأیید کنید از راه DNS TXT یا یک HTTP file (Account → Domains).
  2. مجوز را attest کنید — یک تأیید واحد در زمان شروع اسکن که می‌گوید مجوز دارید. با IP، user-agent، و timestamp شما server-stamp می‌شود و در audit_logs نوشته می‌شود.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

مخزن GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

اسکن‌های repo هرگز روی repo شما write نمی‌کنند و source code را persist نمی‌کنند؛ فقط evidence مربوط به finding ذخیره می‌شود. Quota: همان bucket scansPerMonth مثل اسکن‌های URL.

اجرا از طریق API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

اسکن‌های یک‌باره ناشناس

صفحه home به بازدیدکنندگان بدون ثبت‌نام اجازه می‌دهد در هر browser session یک passive scan اجرا کنند. این اسکن‌ها ۲۴ ساعت بعد از creation منقضی می‌شوند و اگر قبل از انقضا ثبت‌نام کنید می‌توانند به یک حساب واقعی migrate شوند؛ auth callback به‌صورت خودکار anonymous scan را به org جدید وصل می‌کند.

نوع‌های اسکن — Docs · FixVibe