FixVibe

// docs / scans

Nuskaitymų tipai

FixVibe vykdo trijų rūšių nuskaitymus prieš trijų rūšių taikinius. Kiekvienas turi skirtingus apribojimus, greitį ir poveikio spindulį, todėl rinkitės tą, kuris atitinka tai, ką tikrinate.

Pasyvus

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Kadangi jis tik skaito, pasyvus nuskaitymas gali veikti prieš bet kurį URL: nereikia domeno patvirtinimo ar atestacijos. Kompromisas yra gylis: pasyvus režimas praleidžia viską, kam aptikti reikia siųsti įvestį.

Ką pagauna pasyvus režimas

  • Trūkstamos saugumo antraštės (HSTS, CSP, frame-options ir kt.).
  • Nesaugūs slapukų atributai (be Secure / HttpOnly / SameSite).
  • Silpna TLS konfigūracija, pasibaigę sertifikatai, trūkstamas HSTS preload.
  • Paslaptys JS paketuose (Supabase service keys, AWS keys, Stripe sk_ ir kt.).
  • Atskleisti source maps, derinimo endpoint'ai, OpenAPI specifikacijos, GraphQL introspection.
  • Atvira Supabase RLS / Firebase taisyklės / Clerk klaidinga konfigūracija.
  • DNS (subdomeno perėmimas, trūkstamas SPF/DKIM/DMARC).
  • Threat-intel sąrašai (Spamhaus, URLhaus).
  • Pasenusios karkasų versijos su žinomais CVE.

Aktyvus Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Kodėl ribojame: atestacijos eiga

Aktyvūs bandymai teoriškai gali paveikti produkciją: lėti atsakymai, klaidų šuoliai, šiukšliniai duomenys testinėse saugyklose. Reikalaujame, kad:

  1. Patvirtintumėte domeną per DNS TXT arba HTTP failą (Paskyra → Domenai).
  2. Patvirtintumėte autorizaciją — vienas patvirtinimas nuskaitymo pradžioje, kad turite leidimą. Serveris įrašo jūsų IP, user-agent ir laiko žymą; įrašoma į audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub saugykla Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Saugyklų nuskaitymai niekada nerašo į jūsų repo ir niekada neišsaugo šaltinio kodo; saugomi tik radinių įrodymai. Kvota: tas pats scansPerMonth krepšelis kaip URL nuskaitymams.

Paleidimas per API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anoniminiai vienkartiniai nuskaitymai

Pradžios puslapis leidžia neprisiregistravusiems lankytojams paleisti vieną pasyvų nuskaitymą per naršyklės seansą. Šie nuskaitymai baigia galioti po 24 valandų nuo sukūrimo ir gali būti perkelti į tikrą paskyrą, jei užsiregistruosite prieš jiems pasibaigiant; autentifikacijos callback automatiškai prijungia anoniminį nuskaitymą prie naujos organizacijos.

Nuskaitymų tipai — Docs · FixVibe