FixVibe

// docs / scans

Skannetyper

FixVibe kjører tre typer skanninger mot tre typer mål. Hver har ulik tilgangskontroll, ulik hastighet og ulik rekkevidde - velg den som passer det du tester.

Passiv

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Siden den er skrivebeskyttet, kan passiv skanning kjøres mot enhver URL - ingen domeneverifisering, ingen attestering. Avveiningen er dybde: passiv går glipp av alt som krever å sende input for å oppdage.

Hva passiv finner

  • Manglende sikkerhetsheaders (HSTS, CSP, frame-options osv.).
  • Usikre cookie-attributter (ingen Secure / HttpOnly / SameSite).
  • Svak TLS-konfigurasjon, utløpte sertifikater, manglende HSTS preload.
  • Hemmeligheter i JS-bundles (Supabase service keys, AWS-nøkler, Stripe sk_ osv.).
  • Eksponerte source maps, debug-endpoints, OpenAPI-spesifikasjoner, GraphQL-introspeksjon.
  • Åpen Supabase RLS / Firebase-regler / Clerk-feilkonfigurasjon.
  • DNS (subdomain takeover, manglende SPF/DKIM/DMARC).
  • Threat-intel-oppføringer (Spamhaus, URLhaus).
  • Utdaterte rammeverksversjoner med kjente CVE-er.

Aktiv Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Hvorfor vi sperrer det: attestasjonsflyten

Aktive prober kan teoretisk påvirke produksjon - trege svar, feiltopper, søppeldata i testlagre. Vi krever at du:

  1. Verifiserer domenet via DNS TXT eller en HTTP-fil (Konto → Domener).
  2. Attesterer autorisasjon - én bekreftelse ved skannestart som sier at du har tillatelse. Serverstemples med IP-en din, user-agent og tidsstempel; skrives til audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub-repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Reposkanninger skriver aldri til repoet ditt og lagrer aldri kildekode - bare funnbevis lagres. Kvote: samme scansPerMonth-bucket som URL-skanninger.

Utløs via API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonyme engangsskanninger

Hjemmesiden lar besøkende uten konto kjøre én passiv skanning per nettlesersesjon. Disse skanningene utløper 24 timer etter opprettelse og kan migreres til en ekte konto ved å registrere deg før de utløper - auth-callbacken knytter automatisk den anonyme skanningen til den nye organisasjonen.

Skannetyper — Docs · FixVibe