FixVibe

// docs / scans

Szkennelési típusok

A FixVibe háromféle célpont ellen háromféle szkennelést futtat. Mindegyiknek más a kapuzása, sebessége és hatóköre, válaszd azt, amelyik illik ahhoz, amit tesztelsz.

Passzív

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Mivel csak olvas, a passzív szkennelés bármely URL ellen futhat, domainigazolás és attestation nélkül. A kompromisszum a mélység: a passzív szkennelés mindent kihagy, ami bemenet küldését igényli a felfedezéshez.

Mit fog meg a passzív szkennelés

  • Hiányzó biztonsági fejlécek (HSTS, CSP, frame-options stb.).
  • Nem biztonságos cookie attribútumok (nincs Secure / HttpOnly / SameSite).
  • Gyenge TLS konfiguráció, lejárt tanúsítványok, hiányzó HSTS preload.
  • Titkok JS bundle-ekben (Supabase service keys, AWS keys, Stripe sk_ stb.).
  • Kitett source mapek, debug endpointok, OpenAPI specifikációk, GraphQL introspection.
  • Nyitott Supabase RLS / Firebase rules / Clerk félrekonfiguráció.
  • DNS (subdomain takeover, hiányzó SPF/DKIM/DMARC).
  • Threat-intel listázások (Spamhaus, URLhaus).
  • Elavult framework verziók ismert CVE-kkel.

Aktív Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Miért kötjük igazoláshoz: az attestation flow

Az aktív próbák elméletben hatással lehetnek a productionre: lassú válaszok, hibacsúcsok, szemétadatok teszt tárolókban. Azt kérjük, hogy:

  1. Igazold a domaint DNS TXT-vel vagy HTTP fájllal (Account → Domains).
  2. Igazold a jogosultságot — egyetlen megerősítés a szkennelés indításakor, hogy van engedélyed. A szerver IP-vel, user-agenttel és időbélyeggel látja el; bekerül az audit_logs táblába.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repó Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

A repo szkennelések soha nem írnak a repódba és soha nem tárolják a forráskódot, csak a találati bizonyíték kerül mentésre. Kvóta: ugyanaz a scansPerMonth bucket, mint az URL szkenneléseknél.

Indítás API-n keresztül

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonim egyszeri szkennelések

A kezdőlap lehetővé teszi a be nem jelentkezett látogatóknak, hogy böngésző sessionönként egy passzív szkennelést futtassanak. Ezek a szkennelések a létrehozás után 24 órával lejárnak, és valódi fiókba migrálhatók, ha lejárat előtt regisztrálsz; az auth callback automatikusan az új orghoz csatolja az anonim szkennelést.

Szkennelési típusok — Docs · FixVibe