// docs / scans
Jenis pemindaian
FixVibe menjalankan tiga jenis pemindaian terhadap tiga jenis target. Masing-masing punya gating, kecepatan, dan radius dampak yang berbeda โ pilih yang sesuai dengan hal yang kamu uji.
Pasif
Tersedia di setiap tingkatan. Pemindaian pasif tidak pernah mengirimkan masukan serangan buatan; ia mengambil URL seperti browser normal dan memeriksa respons yang dikirimkan, aset klien, paparan BaaS, DNS, dan postur keamanan publik terhadap 260+ passive checks.
Karena read-only, pasif dapat berjalan terhadap URL apa pun โ tanpa verifikasi domain, tanpa attestasi. Komprominya adalah kedalaman: pasif melewatkan semua hal yang perlu pengiriman input untuk ditemukan.
Yang ditangkap pasif
- Header keamanan yang hilang (HSTS, CSP, frame-options, dll.).
- Atribut cookie tidak aman (tanpa Secure / HttpOnly / SameSite).
- Konfigurasi TLS lemah, sertifikat kedaluwarsa, HSTS preload hilang.
- Rahasia dalam JS bundle (kunci service Supabase, kunci AWS, Stripe sk_, dll.).
- Source map, endpoint debug, spesifikasi OpenAPI, introspeksi GraphQL yang terekspos.
- Supabase RLS terbuka / aturan Firebase / miskonfigurasi Clerk.
- DNS (subdomain takeover, SPF/DKIM/DMARC hilang).
- Daftar threat-intel (Spamhaus, URLhaus).
- Versi framework usang dengan CVE yang diketahui.
Aktif Hobby+
Pemindaian aktif melakukan verifikasi terbatas terhadap domain terverifikasi yang telah Anda otorisasi secara eksplisit. Mereka tersedia pada paket Hobby dan tingkat yang lebih tinggi (Pro, Unlimited) dan dirancang untuk mengonfirmasi perilaku berisiko tanpa memublikasikan resep pemeriksaan yang mendasarinya.
Mengapa kami membatasinya: alur attestasi
Probe aktif secara teori dapat memengaruhi produksi โ respons lambat, lonjakan error, data sampah di penyimpanan test. Kami mewajibkan kamu untuk:
- Verifikasi domain melalui DNS TXT atau file HTTP (Account โ Domains).
- Memberi attestasi otorisasi โ satu konfirmasi saat pemindaian dimulai yang menyatakan kamu punya izin. Dicatat server bersama IP, user-agent, dan timestamp; ditulis ke
audit_logs.
Untuk pemindaian ulang terjadwal dan API/MCP otorisasi domain dicatat dari Dashboard โ Domains dan dapat dicabut kapan saja. Pemindaian aktif otomatis menggunakan tingkat keamanan resmi untuk domain tersebut.
Repositori GitHub Pro+
Pemindaian repo melewati sumber pengujian dan peninjauan URL yang diterapkan melalui FixVibe GitHub App atau koneksi OAuth Anda. Mereka melaporkan kode berkeyakinan tinggi, ketergantungan, dan risiko keamanan repositori tanpa menyimpan kode sumber Anda.
Pemindaian repo tidak pernah menulis ke repo kamu dan tidak pernah menyimpan source code โ hanya bukti temuan yang disimpan. Kuota: bucket scansPerMonth yang sama dengan pemindaian URL.
Picu via API
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API dan MCP dapat memulai pemindaian pasif, dan dapat memulai pemindaian aktif untuk domain terverifikasi yang telah secara eksplisit diotorisasi di Dashboard โ Domains. Referensi lengkap: /docs/api.
Pemindaian sekali jalan anonim
Halaman beranda memungkinkan pengunjung yang belum mendaftar menjalankan satu pemindaian pasif per sesi browser. Pemindaian ini kedaluwarsa 24 jam setelah dibuat dan dapat dimigrasikan ke akun sungguhan dengan mendaftar sebelum kedaluwarsa โ callback auth otomatis menautkan pemindaian anonim ke org baru.
