// docs / scans
Scan အမျိုးအစားများ
FixVibe သည် target အမျိုးအစား ၃ မျိုးအပေါ် scan အမျိုးအစား ၃ မျိုးကို run လုပ်သည်။ တစ်ခုချင်းစီတွင် gating၊ အမြန်နှုန်းနှင့် blast radius မတူကြပါ — သင်စမ်းသပ်နေသည့်အရာနှင့် ကိုက်ညီသောတစ်ခုကို ရွေးပါ။
Passive
Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.
Read-only ဖြစ်သောကြောင့် passive သည် မည်သည့် URL ပေါ်မဆို run လုပ်နိုင်သည် — domain verification မလို၊ attestation မလို။ Trade-off သည် depth ဖြစ်သည်: input ပို့မှ ရှာတွေ့နိုင်သည့်အရာအားလုံးကို passive သည် လွတ်နိုင်သည်။
Passive က ဖမ်းမိသောအရာများ
- ပျောက်နေသော security header များ (HSTS၊ CSP၊ frame-options စသည်)။
- မလုံခြုံသော cookie attribute များ (Secure / HttpOnly / SameSite မရှိခြင်း)။
- အားနည်းသော TLS configuration၊ သက်တမ်းကုန် certificate များ၊ HSTS preload မရှိခြင်း။
- JS bundle ထဲရှိ secret များ (Supabase service key၊ AWS key၊ Stripe sk_ စသည်)။
- Exposed source map များ၊ debug endpoint များ၊ OpenAPI spec များ၊ GraphQL introspection။
- Open Supabase RLS / Firebase rules / Clerk misconfiguration။
- DNS (subdomain takeover၊ SPF/DKIM/DMARC မရှိခြင်း)။
- Threat-intel listing များ (Spamhaus၊ URLhaus)။
- သိပြီးသား CVE များရှိသော framework version အဟောင်းများ။
Active Hobby+
Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.
ဘာကြောင့် gate လုပ်သလဲ: attestation flow
Active probe များသည် သီအိုရီအရ production ကို ထိခိုက်နိုင်သည် — response နှေးခြင်း၊ error spike ဖြစ်ခြင်း၊ test store ထဲတွင် အမှိုက် data ဝင်ခြင်း။ သင့်အား ကျွန်ုပ်တို့ လိုအပ်သည်မှာ:
- Domain ကို အတည်ပြုပါ DNS TXT သို့မဟုတ် HTTP file ဖြင့် (Account → Domains)။
- Authorization ကို attest လုပ်ပါ — scan စတင်ချိန်တွင် သင့်တွင် ခွင့်ပြုချက်ရှိကြောင်း တစ်ကြိမ်တည်း အတည်ပြုခြင်း။ သင့် IP၊ user-agent နှင့် timestamp ဖြင့် server-stamped လုပ်ပြီး
audit_logsသို့ ရေးသည်။
For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.
GitHub repository Pro+
Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.
Repo scan များသည် သင့် repo သို့ ဘယ်တော့မှ မရေးပါ၊ source code ကိုလည်း မသိမ်းပါ — finding evidence သာ သိမ်းသည်။ Quota: URL scan များနှင့် တူညီသော scansPerMonth bucket ဖြစ်သည်။
API မှ trigger လုပ်ရန်
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.
Anonymous one-shot scan များ
Home page သည် sign up မလုပ်ထားသော visitor များအား browser session တစ်ခုလျှင် passive scan တစ်ခု run ခွင့်ပေးသည်။ ဤ scan များသည် ဖန်တီးပြီး 24 နာရီအကြာ expire ဖြစ်ပြီး မ expire မီ sign up လုပ်ပါက account တစ်ခုသို့ migrate လုပ်နိုင်သည် — auth callback သည် anonymous scan ကို org အသစ်နှင့် အလိုအလျောက် attach လုပ်သည်။