FixVibe

// docs / scans

स्कैन प्रकार

FixVibe तीन तरह के लक्ष्यों पर तीन तरह के स्कैन चलाता है। हर एक की gating, गति, और blast radius अलग है — वह चुनें जो आपके परीक्षण से मेल खाता हो।

Passive

हर स्तर पर उपलब्ध है. एक निष्क्रिय स्कैन कभी भी तैयार किए गए हमले का इनपुट नहीं भेजता है; यह एक सामान्य ब्राउज़र की तरह URL प्राप्त करता है और भेजे गए प्रत्युत्तरों, ग्राहक संपत्तियों, BaaS एक्सपोज़र, DNS, और सार्वजनिक सुरक्षा स्थिति को 260+ passive checks के विरुद्ध जाँचता है।

क्योंकि यह read-only है, passive किसी भी URL पर चल सकता है — domain verification नहीं, attestation नहीं। trade-off depth है: passive वह सब miss करता है जिसे खोजने के लिए input भेजना जरूरी होता है।

Passive क्या पकड़ता है

  • Missing security headers (HSTS, CSP, frame-options, आदि)।
  • असुरक्षित cookie attributes (Secure / HttpOnly / SameSite नहीं)।
  • कमजोर TLS configuration, expired certs, missing HSTS preload।
  • JS bundles में secrets (Supabase service keys, AWS keys, Stripe sk_, आदि)।
  • Exposed source maps, debug endpoints, OpenAPI specs, GraphQL introspection।
  • Open Supabase RLS / Firebase rules / Clerk misconfiguration।
  • DNS (subdomain takeover, missing SPF/DKIM/DMARC)।
  • Threat-intel listings (Spamhaus, URLhaus)।
  • Known CVEs वाले outdated framework versions।

Active Hobby+

सक्रिय स्कैन आपके द्वारा स्पष्ट रूप से अधिकृत सत्यापित डोमेन के विरुद्ध सीमित सत्यापन करते हैं। वे Hobby योजना और उच्च स्तरों (Pro, Unlimited) पर उपलब्ध हैं और अंतर्निहित जांच व्यंजनों को प्रकाशित किए बिना जोखिम भरे व्यवहार की पुष्टि करने के लिए डिज़ाइन किए गए हैं।

हम इसे gate क्यों करते हैं: attestation flow

Active probes सैद्धांतिक रूप से production को प्रभावित कर सकते हैं — slow responses, error spikes, test stores में garbage data। हम आपसे यह अपेक्षा करते हैं:

  1. Domain verify करें DNS TXT या HTTP file के जरिए (Account → Domains)।
  2. Authorization attest करें — scan शुरू करते समय एक confirmation कि आपके पास अनुमति है। आपके IP, user-agent, और timestamp के साथ server-stamped; audit_logs में लिखा जाता है।

निर्धारित पुन: स्कैन और API/MCP सक्रिय प्रारंभ के लिए, डोमेन प्राधिकरण Dashboard → Domains से रिकॉर्ड किया जाता है और इसे किसी भी समय रद्द किया जा सकता है। स्वचालित सक्रिय स्कैन उस डोमेन के लिए अधिकृत सुरक्षा स्तर का उपयोग करते हैं।

GitHub भंडार Pro+

रेपो स्कैन FixVibe GitHub App या आपके OAuth कनेक्शन के माध्यम से तैनात URL परीक्षण और समीक्षा स्रोत को छोड़ देते हैं। वे आपके स्रोत कोड को संग्रहीत किए बिना उच्च-विश्वास कोड, निर्भरता और रिपॉजिटरी-सुरक्षा जोखिमों की रिपोर्ट करते हैं।

Repo scans आपके repo में कभी write नहीं करते और source code persist नहीं करते — केवल finding evidence store होता है। Quota: URL scans वाला वही scansPerMonth bucket।

API से trigger करें

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API और MCP निष्क्रिय स्कैन शुरू कर सकते हैं, और सत्यापित डोमेन के लिए सक्रिय स्कैन शुरू कर सकते हैं जिन्हें Dashboard → Domains में स्पष्ट रूप से अधिकृत किया गया है। पूरा संदर्भ: /docs/api.

Anonymous one-shot स्कैन

Home page बिना sign up किए visitors को browser session में एक single passive scan चलाने देता है। ये scans creation के 24 घंटे बाद expire होते हैं और expire होने से पहले sign up करके real account में migrate किए जा सकते हैं — auth callback anonymous scan को नए org से automatically attach करता है।

स्कैन प्रकार — Docs · FixVibe