FixVibe

// docs / scans

სკანირების ტიპები

FixVibe სამი ტიპის სამიზნეზე სამი ტიპის სკანს უშვებს. თითოეულს განსხვავებული gating, სიჩქარე და blast radius აქვს — აირჩიეთ ის, რაც თქვენს ტესტს შეესაბამება.

პასიური

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

რადგან read-only არის, passive ნებისმიერ URL-ზე მუშაობს — domain verification-ის და attestation-ის გარეშე. კომპრომისი სიღრმეა: passive ყველაფერს ტოვებს, რის აღმოსაჩენად input-ის გაგზავნაა საჭირო.

რას იჭერს passive

  • გამოტოვებული security headers (HSTS, CSP, frame-options და სხვ.).
  • უსაფრთხო არაა cookie attributes (Secure / HttpOnly / SameSite-ის გარეშე).
  • სუსტი TLS configuration, ვადაგასული certs, გამოტოვებული HSTS preload.
  • Secrets JS bundles-ში (Supabase service keys, AWS keys, Stripe sk_ და სხვ.).
  • ღია source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
  • ღია Supabase RLS / Firebase rules / Clerk misconfiguration.
  • DNS (subdomain takeover, გამოტოვებული SPF/DKIM/DMARC).
  • Threat-intel სიები (Spamhaus, URLhaus).
  • მოძველებული framework versions ცნობილი CVEs-ით.

აქტიური Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

რატომ ვზღუდავთ: attestation flow

აქტიურმა ზონდებმა თეორიულად production-ზე შეიძლება იმოქმედოს — slow responses, error spikes, garbage data test stores-ში. ჩვენ ვითხოვთ, რომ:

  1. დაადასტუროთ დომენი DNS TXT-ით ან HTTP file-ით (Account → Domains).
  2. დაადასტუროთ ავტორიზაცია — scan-start დროს ერთი confirmation, რომ ნებართვა გაქვთ. Server-stamped თქვენი IP-ით, user-agent-ით და timestamp-ით; იწერება audit_logs-ში.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans თქვენს repo-ში არასდროს წერს და source code-ს არასდროს ინახავს — ინახება მხოლოდ finding evidence. Quota: იგივე scansPerMonth bucket, რაც URL scans-ს აქვს.

გაშვება API-დან

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

ანონიმური ერთჯერადი სკანები

მთავარი გვერდი unsigned-up visitors-ს აძლევს საშუალებას ერთ browser session-ზე ერთი passive scan გაუშვან. ეს scans expire ხდება შექმნიდან 24 საათში და შეიძლება რეალურ account-ში გადავიდეს, თუ expiry-მდე დარეგისტრირდებით — auth callback ავტომატურად მიაბამს anonymous scan-ს ახალ org-ს.

სკანირების ტიპები — Docs · FixVibe