FixVibe

// docs / scans

Scan-typen

FixVibe voert drie soorten scans uit op drie soorten doelen. Elk heeft verschillende toegangscontrole, snelheid en bereik β€” kies degene die past bij wat je test.

Passief

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Omdat hij alleen-lezen is, kan passief tegen elke URL draaien β€” geen domeinverificatie, geen bevestiging. De afweging is diepte: passief mist alles waarvoor invoer moet worden gestuurd om het te ontdekken.

Wat passief vindt

  • Ontbrekende security headers (HSTS, CSP, frame-options, enz.).
  • Onveilige cookie-attributen (geen Secure / HttpOnly / SameSite).
  • Zwakke TLS-configuratie, verlopen certificaten, ontbrekende HSTS preload.
  • Geheimen in JS-bundels (Supabase service keys, AWS keys, Stripe sk_, enz.).
  • Blootgestelde source maps, debug-endpoints, OpenAPI specs, GraphQL introspection.
  • Open Supabase RLS / Firebase rules / Clerk-misconfiguratie.
  • DNS (subdomain takeover, ontbrekende SPF/DKIM/DMARC).
  • Threat-intel-vermeldingen (Spamhaus, URLhaus).
  • Verouderde frameworkversies met bekende CVE's.

Actief Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Waarom we dit afschermen: de bevestigingsflow

Actieve probes kunnen theoretisch productie beΓ―nvloeden β€” trage responses, foutpieken, rommeldata in test-stores. We vragen je om:

  1. Het domein te verifiΓ«ren via DNS TXT of een HTTP-bestand (Account β†’ Domains).
  2. Toestemming te bevestigen β€” één bevestiging bij de start van de scan dat je toestemming hebt. Server-stamped met je IP, user-agent en timestamp; geschreven naar audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard β†’ Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub-repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo-scans schrijven nooit naar je repo en bewaren nooit broncode β€” alleen bewijs bij bevindingen wordt opgeslagen. Quota: dezelfde scansPerMonth-bucket als URL-scans.

Triggeren via API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard β†’ Domains. Full reference: /docs/api.

Anonieme eenmalige scans

Op de homepagina kunnen bezoekers zonder account één passieve scan per browsersessie uitvoeren. Deze scans verlopen 24 uur na aanmaak en kunnen naar een echt account worden gemigreerd als je je registreert voordat ze verlopen β€” de auth callback koppelt de anonieme scan automatisch aan de nieuwe org.

Scan-typen β€” Docs Β· FixVibe