FixVibe

// docs / scans

Skannaustyypit

FixVibe ajaa kolmenlaisia skannauksia kolmenlaisia kohteita vasten. Jokaisella on eri gating, eri nopeus ja eri blast radius — valitse se, joka sopii testattavaan asiaan.

Passiivinen

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Koska se on read-only, passiivinen skannaus voi ajaa mitä tahansa URL:ää vasten — ei verkkotunnuksen vahvistusta, ei attestointia. Kompromissi on syvyys: passiivinen ohittaa kaiken, jonka löytämiseen täytyy lähettää syötettä.

Mitä passiivinen löytää

  • Puuttuvat turvallisuusotsakkeet (HSTS, CSP, frame-options jne.).
  • Turvattomat evästeattribuutit (ei Secure / HttpOnly / SameSite).
  • Heikko TLS-konfiguraatio, vanhentuneet sertifikaatit, puuttuva HSTS preload.
  • Salaisuudet JS-bundleissa (Supabase service keys, AWS-avaimet, Stripe sk_ jne.).
  • Paljastuneet source mapit, debug-endpointit, OpenAPI-speksit, GraphQL-introspection.
  • Avoin Supabase RLS / Firebase-säännöt / Clerk-virhekonfiguraatio.
  • DNS (subdomain takeover, puuttuva SPF/DKIM/DMARC).
  • Threat-intel-listaukset (Spamhaus, URLhaus).
  • Vanhentuneet framework-versiot, joissa on tunnettuja CVE:itä.

Aktiivinen Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Miksi lukitsemme sen: attestointivirta

Aktiiviset probet voivat teoriassa vaikuttaa tuotantoon — hitaita vastauksia, virhepiikkejä, roskadataa testivarastoissa. Vaadimme, että:

  1. Vahvistat verkkotunnuksen DNS TXT:llä tai HTTP-tiedostolla (Account → Domains).
  2. Attestoit valtuutuksen — yksi vahvistus skannauksen aloitushetkellä siitä, että sinulla on lupa. Server-stamped IP:lläsi, user-agentilla ja aikaleimalla; kirjoitetaan audit_logs-tauluun.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub-repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo-skannaukset eivät koskaan kirjoita repoosi eivätkä koskaan tallenna lähdekoodia — vain löydösten evidenssi tallennetaan. Kiintiö: sama scansPerMonth-bucket kuin URL-skannauksissa.

Käynnistä API:n kautta

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonyymit kertaskannaukset

Etusivu antaa kirjautumattomien vierailijoiden ajaa yhden passiivisen skannauksen per selainistunto. Nämä skannaukset vanhenevat 24 tunnin kuluttua luomisesta ja voidaan siirtää oikealle tilille rekisteröitymällä ennen vanhenemista — auth-callback liittää anonyymin skannauksen automaattisesti uuteen orgiin.

Skannaustyypit — Docs · FixVibe