FixVibe

// docs / scans

Skenēšanas tipi

FixVibe izpilda trīs veidu skenēšanas pret trīs veidu mērķiem. Katram ir atšķirīga piekļuves kontrole, ātrums un ietekmes rādiuss, tāpēc izvēlieties to, kas atbilst jūsu pārbaudei.

Pasīva

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Tā kā tā ir tikai lasīšanai, pasīvā skenēšana var darboties pret jebkuru URL: nav vajadzīga domēna pārbaude vai apliecinājums. Kompromiss ir dziļums: pasīvais režīms palaiž garām visu, kam atklāšanai jānosūta ievade.

Ko pasīvā skenēšana atrod

  • Trūkstošas drošības galvenes (HSTS, CSP, frame-options utt.).
  • Nedroši sīkfailu atribūti (bez Secure / HttpOnly / SameSite).
  • Vāja TLS konfigurācija, beigušies sertifikāti, trūkstošs HSTS preload.
  • Noslēpumi JS pakotnēs (Supabase service keys, AWS keys, Stripe sk_ utt.).
  • Atklāti source maps, atkļūdošanas endpoint'i, OpenAPI specifikācijas, GraphQL introspection.
  • Atvērta Supabase RLS / Firebase noteikumi / Clerk nepareiza konfigurācija.
  • DNS (apakšdomēna pārņemšana, trūkstošs SPF/DKIM/DMARC).
  • Threat-intel saraksti (Spamhaus, URLhaus).
  • Novecojušas ietvaru versijas ar zināmiem CVE.

Aktīva Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Kāpēc to ierobežojam: apliecināšanas plūsma

Aktīvie zondējumi teorētiski var ietekmēt produkciju: lēnas atbildes, kļūdu pīķi, nevajadzīgi dati testa glabātuvēs. Mēs prasām, lai jūs:

  1. Pārbaudītu domēnu ar DNS TXT vai HTTP failu (Konts → Domēni).
  2. Apliecinātu autorizāciju — viens apstiprinājums skenēšanas sākumā, ka jums ir atļauja. Serveris pievieno jūsu IP, user-agent un laika zīmogu; ieraksts nonāk audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repozitorijs Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo skenēšanas nekad neraksta jūsu repo un nekad nesaglabā avota kodu; tiek glabāti tikai atradumu pierādījumi. Kvota: tas pats scansPerMonth grozs kā URL skenējumiem.

Palaist caur API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonīmas vienreizējas skenēšanas

Sākumlapa ļauj nereģistrētiem apmeklētājiem palaist vienu pasīvu skenēšanu pārlūka sesijā. Šīs skenēšanas beidzas 24 stundas pēc izveides un var tikt migrētas uz īstu kontu, ja reģistrējaties pirms to beigām; autentifikācijas callback automātiski piesaista anonīmo skenējumu jaunajai organizācijai.

Skenēšanas tipi — Docs · FixVibe