FixVibe

// docs / scans

Skannategundir

FixVibe keyrir þrjár tegundir skannana á þrjár tegundir marka. Hver hefur mismunandi aðgangsstýringu, mismunandi hraða og mismunandi áhrifaradíus; veldu það sem passar við það sem þú ert að prófa.

Óvirkt

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Þar sem hún er read-only getur óvirk skönnun keyrt gegn hvaða URL sem er: engin lénsstaðfesting, engin attestun. Málamiðlunin er dýpt: óvirkt missir allt sem krefst þess að senda input til að uppgötva.

Hvað óvirkt nær

  • Vantar öryggishausa (HSTS, CSP, frame-options, o.s.frv.).
  • Óörugg cookie attributes (engin Secure / HttpOnly / SameSite).
  • Veik TLS stilling, útrunnin cert, HSTS preload vantar.
  • Leyndarmál í JS bundles (Supabase service keys, AWS keys, Stripe sk_, o.s.frv.).
  • Opin source maps, debug endpoints, OpenAPI forskriftir, GraphQL introspection.
  • Opin Supabase RLS / Firebase rules / Clerk rangstilling.
  • DNS (subdomain takeover, SPF/DKIM/DMARC vantar).
  • Threat-intel skráningar (Spamhaus, URLhaus).
  • Úreltar framework útgáfur með þekktum CVEs.

Virkt Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Af hverju við læsum þessu: attestunarflæðið

Virkar prófanir geta fræðilega haft áhrif á production: hæg svör, villutoppa, ruslgögn í prófunargeymslum. Við krefjumst þess að þú:

  1. Staðfestir lénið með DNS TXT eða HTTP skrá (Account → Domains).
  2. Attestir heimild — ein staðfesting við upphaf skönnunar sem segir að þú hafir leyfi. Þjónninn stimplar IP, user-agent og timestamp; skrifað í audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo skannanir skrifa aldrei í repo þitt og varðveita aldrei source code: aðeins sönnunargögn funda eru geymd. Kvóti: sama scansPerMonth bucket og URL skannanir.

Kveikja í gegnum API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Nafnlausar einnota skannanir

Heimasíðan leyfir óskráðum gestum að keyra eina óvirka skönnun í hverri vafralotu. Þessar skannanir renna út 24 klukkustundum eftir stofnun og má flytja yfir á alvöru reikning með því að skrá sig áður en þær renna út; auth callback tengir nafnlausu skönnunina sjálfkrafa við nýja org.

Skannategundir — Docs · FixVibe