Tipi di scansione

Passiva

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Poiché è in sola lettura, la passiva può girare su qualsiasi URL: nessuna verifica del dominio, nessuna attestazione. Il compromesso è la profondità: la passiva perde tutto ciò che richiede l'invio di input per essere scoperto.

Cosa rileva la passiva

• Header di sicurezza mancanti (HSTS, CSP, frame-options, ecc.).
• Attributi cookie non sicuri (assenza di Secure / HttpOnly / SameSite).
• Configurazione TLS debole, certificati scaduti, preload HSTS mancante.
• Segreti nei bundle JS (chiavi service Supabase, chiavi AWS, Stripe sk_, ecc.).
• Source map esposte, endpoint di debug, specifiche OpenAPI, introspezione GraphQL.
• RLS Supabase aperta / regole Firebase / configurazione errata Clerk.
• DNS (subdomain takeover, SPF/DKIM/DMARC mancanti).
• Liste di threat intel (Spamhaus, URLhaus).
• Versioni di framework obsolete con CVE note.

Attiva Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Perché la vincoliamo: il flusso di attestazione

Le sonde attive possono teoricamente incidere sulla produzione: risposte lente, picchi di errore, dati spazzatura negli store di test. Ti chiediamo di:

1. Verificare il dominio tramite DNS TXT o un file HTTP (Account → Domini).
2. Attestare l'autorizzazione: una singola conferma all'avvio della scansione che dichiara che hai il permesso. Viene marcata lato server con IP, user-agent e timestamp; scritta in audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repository GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Le scansioni repo non scrivono mai nel tuo repository e non persistono mai il codice sorgente: vengono salvate solo le evidenze delle segnalazioni. Quota: stesso bucket scansPerMonth delle scansioni URL.

Avviare tramite API

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Scansioni anonime una tantum

La home page permette ai visitatori non registrati di eseguire una singola scansione passiva per sessione browser. Queste scansioni scadono 24 ore dopo la creazione e possono essere migrate a un account reale registrandosi prima della scadenza: il callback di autenticazione collega automaticamente la scansione anonima alla nuova org.