FixVibe

// docs / scans

Vrste skeniranja

FixVibe pokreće tri vrste skeniranja nad tri vrste ciljeva. Svaka ima drugačije uvjete, brzinu i doseg utjecaja - odaberite onu koja odgovara onome što testirate.

Pasivno

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Budući da je samo za čitanje, pasivno skeniranje može se pokrenuti nad bilo kojim URL-om - bez verifikacije domene i bez potvrde ovlaštenja. Kompromis je dubina: pasivno propušta sve što zahtijeva slanje unosa da bi se otkrilo.

Što pasivno skeniranje pronalazi

  • Nedostajuća sigurnosna zaglavlja (HSTS, CSP, frame-options itd.).
  • Nesigurni atributi kolačića (bez Secure / HttpOnly / SameSite).
  • Slaba TLS konfiguracija, istekli certifikati, nedostajući HSTS preload.
  • Tajne u JS bundleovima (Supabase service keys, AWS ključevi, Stripe sk_ itd.).
  • Izloženi source mapovi, debug endpointi, OpenAPI specifikacije, GraphQL introspekcija.
  • Otvoreni Supabase RLS / Firebase rules / Clerk pogrešna konfiguracija.
  • DNS (preuzimanje poddomene, nedostajući SPF/DKIM/DMARC).
  • Threat-intel popisi (Spamhaus, URLhaus).
  • Zastarjele verzije frameworka s poznatim CVE-ovima.

Aktivno Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Zašto to uvjetujemo: tijek potvrde

Aktivne provjere teoretski mogu utjecati na produkciju - spori odgovori, skokovi pogrešaka, neželjeni podaci u testnim spremištima. Zahtijevamo da:

  1. Verificirate domenu putem DNS TXT zapisa ili HTTP datoteke (Račun → Domene).
  2. Potvrdite ovlaštenje - jedna potvrda pri pokretanju skeniranja da imate dopuštenje. Poslužitelj je označava vašim IP-jem, user-agentom i vremenskom oznakom; zapisuje se u audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repozitorij Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Skeniranja repozitorija nikad ne pišu u vaš repo i nikad ne pohranjuju izvorni kod - spremaju se samo dokazi nalaza. Kvota: isti scansPerMonth spremnik kao za URL skeniranja.

Pokretanje putem API-ja

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonimna jednokratna skeniranja

Početna stranica omogućuje neprijavljenim posjetiteljima jedno pasivno skeniranje po sesiji preglednika. Ta skeniranja istječu 24 sata nakon izrade i mogu se premjestiti na stvarni račun registracijom prije isteka - auth callback automatski povezuje anonimno skeniranje s novom organizacijom.

Vrste skeniranja — Docs · FixVibe