FixVibe

// docs / scans

Jenis pemindaian

FixVibe menjalankan tiga jenis pemindaian terhadap tiga jenis target. Masing-masing punya gating, kecepatan, dan radius dampak yang berbeda โ€” pilih yang sesuai dengan hal yang kamu uji.

Pasif

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Karena read-only, pasif dapat berjalan terhadap URL apa pun โ€” tanpa verifikasi domain, tanpa attestasi. Komprominya adalah kedalaman: pasif melewatkan semua hal yang perlu pengiriman input untuk ditemukan.

Yang ditangkap pasif

  • Header keamanan yang hilang (HSTS, CSP, frame-options, dll.).
  • Atribut cookie tidak aman (tanpa Secure / HttpOnly / SameSite).
  • Konfigurasi TLS lemah, sertifikat kedaluwarsa, HSTS preload hilang.
  • Rahasia dalam JS bundle (kunci service Supabase, kunci AWS, Stripe sk_, dll.).
  • Source map, endpoint debug, spesifikasi OpenAPI, introspeksi GraphQL yang terekspos.
  • Supabase RLS terbuka / aturan Firebase / miskonfigurasi Clerk.
  • DNS (subdomain takeover, SPF/DKIM/DMARC hilang).
  • Daftar threat-intel (Spamhaus, URLhaus).
  • Versi framework usang dengan CVE yang diketahui.

Aktif Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Mengapa kami membatasinya: alur attestasi

Probe aktif secara teori dapat memengaruhi produksi โ€” respons lambat, lonjakan error, data sampah di penyimpanan test. Kami mewajibkan kamu untuk:

  1. Verifikasi domain melalui DNS TXT atau file HTTP (Account โ†’ Domains).
  2. Memberi attestasi otorisasi โ€” satu konfirmasi saat pemindaian dimulai yang menyatakan kamu punya izin. Dicatat server bersama IP, user-agent, dan timestamp; ditulis ke audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard โ†’ Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repositori GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Pemindaian repo tidak pernah menulis ke repo kamu dan tidak pernah menyimpan source code โ€” hanya bukti temuan yang disimpan. Kuota: bucket scansPerMonth yang sama dengan pemindaian URL.

Picu via API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard โ†’ Domains. Full reference: /docs/api.

Pemindaian sekali jalan anonim

Halaman beranda memungkinkan pengunjung yang belum mendaftar menjalankan satu pemindaian pasif per sesi browser. Pemindaian ini kedaluwarsa 24 jam setelah dibuat dan dapat dimigrasikan ke akun sungguhan dengan mendaftar sebelum kedaluwarsa โ€” callback auth otomatis menautkan pemindaian anonim ke org baru.

Jenis pemindaian โ€” Docs ยท FixVibe