// docs / scans

Scan ಪ್ರಕಾರಗಳು

FixVibe ಮೂರು ವಿಧದ targets ಮೇಲೆ ಮೂರು ವಿಧದ scans ನಡೆಸುತ್ತದೆ. ಪ್ರತಿಯೊಂದಕ್ಕೂ ಬೇರೆ gating, ಬೇರೆ speed, ಮತ್ತು ಬೇರೆ blast radius ಇದೆ; ನೀವು ಪರೀಕ್ಷಿಸುತ್ತಿರುವುದಕ್ಕೆ ಹೊಂದುವದನ್ನು ಆಯ್ಕೆಮಾಡಿ.

Passive

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

ಇದು read-only ಆದ್ದರಿಂದ passive ಯಾವುದೇ URL ಮೇಲೆ run ಆಗಬಹುದು: domain verification ಇಲ್ಲ, attestation ಇಲ್ಲ. Trade-off depth: input ಕಳುಹಿಸಿದಾಗ ಮಾತ್ರ ಪತ್ತೆಯಾಗುವ ಎಲ್ಲವನ್ನೂ passive miss ಮಾಡುತ್ತದೆ.

Passive ಏನು ಹಿಡಿಯುತ್ತದೆ

Missing security headers (HSTS, CSP, frame-options, ಇತ್ಯಾದಿ).
Insecure cookie attributes (Secure / HttpOnly / SameSite ಇಲ್ಲ).
ದುರ್ಬಲ TLS configuration, expired certs, missing HSTS preload.
JS bundles ನಲ್ಲಿ secrets (Supabase service keys, AWS keys, Stripe sk_, ಇತ್ಯಾದಿ).
ಬಯಲಾಗಿರುವ source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
ತೆರೆದ Supabase RLS / Firebase rules / Clerk misconfiguration.
DNS ಸಮಸ್ಯೆಗಳು (subdomain takeover, missing SPF/DKIM/DMARC).
Threat-intel ಪಟ್ಟಿಗಳು (Spamhaus, URLhaus).
Known CVEs ಇರುವ outdated framework versions.

Active Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

ನಾವು gate ಮಾಡುವ ಕಾರಣ: attestation flow

Active probes ಸಿದ್ಧಾಂತವಾಗಿ production ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಸಾಧ್ಯತೆ ಇದೆ: slow responses, error spikes, test stores ನಲ್ಲಿ garbage data. ನಾವು ನಿಮಗೆ ಇವುಗಳನ್ನು ಕಡ್ಡಾಯಗೊಳಿಸುತ್ತೇವೆ:

DNS TXT ಅಥವಾ HTTP file ಮೂಲಕ domain verify ಮಾಡಿ (Account → Domains).
Authorization attest ಮಾಡಿ: scan-start ಸಮಯದಲ್ಲಿ ನಿಮಗೆ ಅನುಮತಿ ಇದೆ ಎಂದು ಹೇಳುವ single confirmation. ನಿಮ್ಮ IP, user-agent, timestamp ಜೊತೆ server-stamped; audit_logs ಗೆ ಬರೆಯಲಾಗುತ್ತದೆ.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans ನಿಮ್ಮ repo ಗೆ ಎಂದಿಗೂ write ಮಾಡುವುದಿಲ್ಲ ಮತ್ತು source code persist ಮಾಡುವುದಿಲ್ಲ; finding evidence ಮಾತ್ರ store ಆಗುತ್ತದೆ. Quota: URL scans ಗೆ ಇರುವ ಅದೇ scansPerMonth bucket.

API ಮೂಲಕ trigger ಮಾಡಿ

curl

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonymous one-shot scans

Home page unsigned-up visitors ಗೆ browser session ಪ್ರತಿ single passive scan run ಮಾಡಲು ಅವಕಾಶ ಕೊಡುತ್ತದೆ. ಈ scans creation ನಂತರ 24 hours ನಲ್ಲಿ expire ಆಗುತ್ತವೆ ಮತ್ತು expire ಆಗುವುದಕ್ಕೂ ಮುನ್ನ sign up ಮಾಡಿದರೆ real account ಗೆ migrate ಮಾಡಬಹುದು; auth callback anonymous scan ಅನ್ನು new org ಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ attach ಮಾಡುತ್ತದೆ.