FixVibe

// docs / scans

סוגי סריקות

FixVibe מריץ שלושה סוגי סריקות מול שלושה סוגי יעדים. לכל אחד יש שערי הפעלה שונים, מהירות שונה ורדיוס השפעה שונה — בחרו את זה שמתאים למה שאתם בודקים.

פסיבי

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

מאחר שהיא לקריאה בלבד, סריקה פסיבית יכולה לרוץ מול כל URL — בלי אימות דומיין ובלי הצהרה. המחיר הוא עומק: פסיבי מפספס כל דבר שמחייב שליחת קלט כדי לגלות אותו.

מה פסיבי תופס

  • כותרות אבטחה חסרות (HSTS, CSP, frame-options ועוד).
  • מאפייני cookie לא בטוחים (ללא Secure / HttpOnly / SameSite).
  • תצורת TLS חלשה, תעודות שפג תוקפן, HSTS preload חסר.
  • סודות בחבילות JS (מפתחות Supabase service, מפתחות AWS, Stripe sk_ ועוד).
  • מפות מקור חשופות, נקודות ניפוי, מפרטי OpenAPI, GraphQL introspection.
  • Supabase RLS פתוח / כללי Firebase / תצורת Clerk שגויה.
  • DNS (השתלטות על תת-דומיין, SPF/DKIM/DMARC חסרים).
  • רישומי מודיעין איומים (Spamhaus, URLhaus).
  • גרסאות פריימוורק מיושנות עם CVEs ידועים.

אקטיבי Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

למה אנחנו מגבילים את זה: תהליך ההצהרה

גישושים אקטיביים יכולים תאורטית להשפיע על סביבת ייצור — תגובות איטיות, קפיצות שגיאה, נתוני זבל במאגרי בדיקה. אנחנו דורשים מכם:

  1. לאמת את הדומיין דרך DNS TXT או קובץ HTTP (חשבון → דומיינים).
  2. להצהיר על הרשאה — אישור יחיד בזמן התחלת הסריקה שאומר שיש לכם רשות. נחתם בצד השרת עם ה-IP, ה-user-agent וחותמת הזמן שלכם; נכתב אל audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

מאגר GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

סריקות מאגר לעולם אינן כותבות למאגר שלכם ולעולם אינן שומרות קוד מקור — רק ראיות לממצאים נשמרות. מכסה: אותו דלי scansPerMonth כמו סריקות URL.

הפעלה דרך API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

סריקות אנונימיות חד-פעמיות

עמוד הבית מאפשר למבקרים שאינם מחוברים להריץ סריקה פסיבית אחת לכל סשן דפדפן. הסריקות האלה פגות 24 שעות לאחר יצירתן וניתן להעביר אותן לחשבון אמיתי בהרשמה לפני שהן פגות — קריאת החזרה של האימות מצמידה אוטומטית את הסריקה האנונימית לארגון החדש.

סוגי סריקות — Docs · FixVibe