FixVibe

// docs / scans

Սկանավորման տեսակներ

FixVibe-ը երեք տեսակի սկան է գործարկում երեք տեսակի թիրախների դեմ։ Յուրաքանչյուրն ունի տարբեր հասանելիության պայմաններ, տարբեր արագություն և տարբեր ազդեցության շառավիղ. ընտրեք այն, որը համապատասխանում է ձեր փորձարկմանը։

Պասիվ

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Քանի որ այն read-only է, պասիվը կարող է աշխատել ցանկացած URL-ի վրա՝ առանց domain verification-ի և attestation-ի։ Փոխզիջումը խորությունն է. պասիվը բաց է թողնում այն ամենը, ինչ բացահայտելու համար input ուղարկել է պետք։

Ինչ է որսում պասիվը

  • Բացակայող security headers (HSTS, CSP, frame-options և այլն)։
  • Անապահով cookie attributes (առանց Secure / HttpOnly / SameSite)։
  • Թույլ TLS configuration, ժամկետանց certs, բացակայող HSTS preload։
  • Secrets JS bundles-ում (Supabase service keys, AWS keys, Stripe sk_ և այլն)։
  • Բաց source maps, debug endpoints, OpenAPI specs, GraphQL introspection։
  • Բաց Supabase RLS / Firebase rules / Clerk misconfiguration։
  • DNS (subdomain takeover, բացակայող SPF/DKIM/DMARC)։
  • Threat-intel listings (Spamhaus, URLhaus)։
  • Հնացած framework versions՝ հայտնի CVEs-ով։

Ակտիվ Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Ինչու ենք սահմանափակում. attestation flow

Ակտիվ զոնդերը տեսականորեն կարող են ազդել production-ի վրա՝ դանդաղ պատասխաններ, error spikes, garbage data test stores-ում։ Մենք պահանջում ենք, որ դուք՝

  1. Հաստատեք դոմենը DNS TXT-ի կամ HTTP file-ի միջոցով (Account → Domains)։
  2. Հաստատեք լիազորումը — սկանի մեկնարկի պահին մեկ հաստատում, որ թույլտվություն ունեք։ Server-stamped է ձեր IP-ով, user-agent-ով և timestamp-ով, գրվում է audit_logs-ում։

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans-ը երբեք չի գրում ձեր repo-ում և երբեք չի պահպանում source code-ը. պահվում է միայն finding evidence-ը։ Քվոտա՝ նույն scansPerMonth bucket-ը, ինչ URL scans-ի համար։

Գործարկում API-ի միջոցով

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Անանուն մեկանգամյա սկաններ

Գլխավոր էջը թույլ է տալիս չգրանցված այցելուներին գործարկել մեկ passive scan մեկ browser session-ի համար։ Այս սկանները expire են լինում ստեղծումից 24 ժամ հետո և կարող են տեղափոխվել իրական account, եթե մինչև expire-ը գրանցվեք. auth callback-ը ավտոմատ կցում է անանուն սկանը նոր org-ին։