FixVibe

// docs / scans

Tipos de escaneo

FixVibe executa tres tipos de escaneos contra tres tipos de obxectivos. Cada un ten distinto gating, distinta velocidade e distinto radio de impacto; escolle o que encaixe co que estás probando.

Pasivo

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Como é só lectura, o pasivo pode executarse contra calquera URL: sen verificación de dominio, sen attestación. A contrapartida é a profundidade: o pasivo perde todo o que require enviar entrada para descubrir.

Que captura o pasivo

  • Cabeceiras de seguridade ausentes (HSTS, CSP, frame-options, etc.).
  • Atributos de cookie inseguros (sen Secure / HttpOnly / SameSite).
  • Configuración TLS débil, certificados caducados, falta de HSTS preload.
  • Segredos en JS bundles (Supabase service keys, AWS keys, Stripe sk_, etc.).
  • Source maps expostos, endpoints de debug, especificacións OpenAPI, GraphQL introspection.
  • Supabase RLS / Firebase rules / Clerk mal configurados ou abertos.
  • DNS (subdomain takeover, SPF/DKIM/DMARC ausentes).
  • Listaxes de threat-intel (Spamhaus, URLhaus).
  • Versións de frameworks obsoletas con CVEs coñecidos.

Activo Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Por que o limitamos: o fluxo de attestación

As probas activas poden teoricamente afectar produción: respostas lentas, picos de erro, datos lixo en almacéns de proba. Esiximos que:

  1. Verifiques o dominio mediante DNS TXT ou un ficheiro HTTP (Account → Domains).
  2. Attestes autorización — unha única confirmación ao iniciar o escaneo dicindo que tes permiso. O servidor sélalle IP, user-agent e timestamp; escríbese en audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repositorio GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Os escaneos de repo nunca escriben no teu repo e nunca persisten código fonte; só se almacena evidencia de achados. Cota: o mesmo bucket scansPerMonth que os escaneos de URL.

Disparar vía API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Escaneos anónimos dunha soa vez

A páxina inicial permite a visitantes sen rexistro executar un único escaneo pasivo por sesión de navegador. Estes escaneos caducan 24 horas despois da creación e poden migrarse a unha conta real rexistrándose antes de que caduquen; o auth callback anexa automaticamente o escaneo anónimo á nova org.

Tipos de escaneo — Docs · FixVibe