FixVibe

// docs / scans

Tipi di scansione

FixVibe esegue tre tipi di scansioni su tre tipi di target. Ognuno ha controlli, velocità e raggio d'impatto diversi: scegli quello che corrisponde a ciò che stai testando.

Passiva

Disponibile su ogni livello. Una scansione passiva non invia mai input di attacco predisposto; recupera URL come un normale browser e controlla le risposte inviate, le risorse del cliente, l'esposizione BaaS, DNS e il comportamento di sicurezza pubblica rispetto a 260+ passive checks.

Poiché è in sola lettura, la passiva può girare su qualsiasi URL: nessuna verifica del dominio, nessuna attestazione. Il compromesso è la profondità: la passiva perde tutto ciò che richiede l'invio di input per essere scoperto.

Cosa rileva la passiva

  • Header di sicurezza mancanti (HSTS, CSP, frame-options, ecc.).
  • Attributi cookie non sicuri (assenza di Secure / HttpOnly / SameSite).
  • Configurazione TLS debole, certificati scaduti, preload HSTS mancante.
  • Segreti nei bundle JS (chiavi service Supabase, chiavi AWS, Stripe sk_, ecc.).
  • Source map esposte, endpoint di debug, specifiche OpenAPI, introspezione GraphQL.
  • RLS Supabase aperta / regole Firebase / configurazione errata Clerk.
  • DNS (subdomain takeover, SPF/DKIM/DMARC mancanti).
  • Liste di threat intel (Spamhaus, URLhaus).
  • Versioni di framework obsolete con CVE note.

Attiva Hobby+

Le scansioni attive eseguono verifiche limitate rispetto ai domini verificati che hai esplicitamente autorizzato. Sono disponibili sul piano Hobby e sui livelli superiori (Pro, Unlimited) e sono progettati per confermare comportamenti rischiosi senza pubblicare le ricette della sonda sottostante.

Perché la vincoliamo: il flusso di attestazione

Le sonde attive possono teoricamente incidere sulla produzione: risposte lente, picchi di errore, dati spazzatura negli store di test. Ti chiediamo di:

  1. Verificare il dominio tramite DNS TXT o un file HTTP (Account → Domini).
  2. Attestare l'autorizzazione: una singola conferma all'avvio della scansione che dichiara che hai il permesso. Viene marcata lato server con IP, user-agent e timestamp; scritta in audit_logs.

Per le nuove scansioni pianificate e gli avvii attivi API/MCP, l'autorizzazione del dominio viene registrata da Dashboard → Domini e può essere revocata in qualsiasi momento. Le scansioni attive automatizzate utilizzano il livello di sicurezza autorizzato per quel dominio.

Repository GitHub Pro+

Le scansioni del repository saltano i test URL distribuiti e rivedono l'origine tramite la connessione FixVibe GitHub App o OAuth. Segnalano rischi relativi al codice altamente affidabile, alle dipendenze e alla sicurezza del repository senza archiviare il codice sorgente.

Le scansioni repo non scrivono mai nel tuo repository e non persistono mai il codice sorgente: vengono salvate solo le evidenze delle segnalazioni. Quota: stesso bucket scansPerMonth delle scansioni URL.

Avviare tramite API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API e MCP possono avviare scansioni passive e possono avviare scansioni attive per domini verificati che sono stati esplicitamente autorizzati in Dashboard → Domains. Riferimento completo: /docs/api.

Scansioni anonime una tantum

La home page permette ai visitatori non registrati di eseguire una singola scansione passiva per sessione browser. Queste scansioni scadono 24 ore dopo la creazione e possono essere migrate a un account reale registrandosi prima della scadenza: il callback di autenticazione collega automaticamente la scansione anonima alla nuova org.