FixVibe

// docs / scans

Types de scan

FixVibe lance trois types de scans contre trois types de cibles. Chacun a des contrôles, une vitesse et un rayon d'impact différents : choisis celui qui correspond à ce que tu testes.

Passif

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Comme il est en lecture seule, le passif peut tourner sur n'importe quelle URL : pas de vérification de domaine, pas d'attestation. Le compromis, c'est la profondeur : le passif manque tout ce qui exige d'envoyer une entrée pour être découvert.

Ce que le passif détecte

  • En-têtes de sécurité manquants (HSTS, CSP, frame-options, etc.).
  • Attributs de cookies non sûrs (pas de Secure / HttpOnly / SameSite).
  • Configuration TLS faible, certificats expirés, preload HSTS manquant.
  • Secrets dans les bundles JS (clés de service Supabase, clés AWS, Stripe sk_, etc.).
  • Source maps exposées, endpoints de debug, specs OpenAPI, introspection GraphQL.
  • RLS Supabase ouverte / règles Firebase / mauvaise configuration Clerk.
  • DNS (prise de contrôle de sous-domaine, SPF/DKIM/DMARC manquants).
  • Listes de threat intel (Spamhaus, URLhaus).
  • Versions de frameworks obsolètes avec CVE connues.

Actif Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Pourquoi nous le verrouillons : le flux d'attestation

Les sondes actives peuvent théoriquement affecter la production : réponses lentes, pics d'erreurs, données parasites dans des stores de test. Nous te demandons de :

  1. Vérifier le domaine via DNS TXT ou un fichier HTTP (Compte → Domaines).
  2. Attester ton autorisation : une confirmation unique au démarrage du scan indiquant que tu as la permission. Elle est horodatée côté serveur avec ton IP, user-agent et timestamp, puis écrite dans audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Dépôt GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Les scans de dépôt n'écrivent jamais dans ton dépôt et ne persistent jamais le code source : seules les preuves des constats sont stockées. Quota : même bucket scansPerMonth que les scans d'URL.

Déclencher via l'API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Scans anonymes ponctuels

La page d'accueil permet aux visiteurs non inscrits de lancer un seul scan passif par session de navigateur. Ces scans expirent 24 heures après leur création et peuvent être migrés vers un vrai compte en s'inscrivant avant expiration : le callback d'authentification rattache automatiquement le scan anonyme à la nouvelle organisation.

Types de scan — Docs · FixVibe