// docs / scans
Scan ਕਿਸਮਾਂ
FixVibe ਤੀਨ ਤਰਹ ਕੇ targetੋਂ ਪਰ ਤੀਨ ਤਰਹ ਕੇ scan ਚਲਾਤਾ ਹੈ। ਹਰ ਏਕ ਕੀ gating, ਗਤਿ, ਅਤੇ blast radius ਅਲਗ ਹੈ — ਉਹ ਚੁਣੋ ਜੋ ਤੁਹਾਡੇ ਪਰੀਕ੍ਸ਼ਣ ਸੇ ਮੇਲ account ਹੋ।
Passive mode
Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.
ਕ੍ਯੋਂਕਿ ਇਹ read-only ਹੈ, passive ਕਿਸੀ ਭੀ URL ਪਰ ਚਲ ਸਕਤਾ ਹੈ — domain verification ਨਹੀਂ, attestation ਨਹੀਂ। trade-off depth ਹੈ: passive ਉਹ ਸਬ miss ਕਰਤਾ ਹੈ ਜਿਸੇ ਖੋਜਨੇ ਕੇ ਲਿਏ input ਭੇਜਨਾ ਜਰੂਰੀ ਹੋਤਾ ਹੈ।
Passive ਕ੍ਯਾ ਪਕਡ਼ਤਾ ਹੈ
- Missing security headers (HSTS, CSP, frame-options, ਆਦਿ)।
- ਅਸੁਰੱਖਿਅਤ cookie attributes (Secure / HttpOnly / SameSite ਨਹੀਂ)।
- ਕਮਜੋਰ TLS configuration, expired certs, missing HSTS preload।
- JS bundles ਮੇਂ secrets (Supabase service keys, AWS keys, Stripe sk_, ਆਦਿ)।
- Exposed source maps, debug endpoints, OpenAPI specs, GraphQL introspection।
- Open Supabase RLS / Firebase rules / Clerk misconfiguration।
- DNS (subdomain takeover, missing SPF/DKIM/DMARC)।
- Threat-intel listings (Spamhaus, URLhaus)।
- Known CVEs ਵਾਲੇ outdated framework versions।
Active mode Hobby+
Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.
ਅਸੀਂ ਇਸੇ gate ਕ੍ਯੋਂ ਕਰਤੇ ਹਨ: attestation flow
Active probes ਸੈਦ੍ਧਾਂਤਿਕ ਰੂਪ ਸੇ production ਕੋ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਤੇ ਹਨ — slow responses, error spikes, test stores ਮੇਂ garbage data। ਅਸੀਂ ਤੁਸੀਂਸੇ ਇਹ ਅਪੇਕ੍ਸ਼ਾ ਕਰਤੇ ਹਨ:
- Domain verify ਕਰੋ DNS TXT ਯਾ HTTP file ਕੇ ਜਰਿਏ (Account → Domains)।
- Authorization attest ਕਰੋ — scan ਸ਼ੁਰੂ ਕਰਤੇ ਸਮਯ ਏਕ confirmation ਕਿ ਤੁਹਾਡੇ ਪਾਸ ਅਨੁਮਤਿ ਹੈ। ਤੁਹਾਡੇ IP, user-agent, ਅਤੇ timestamp ਕੇ ਸਾਥ server-stamped;
audit_logsਮੇਂ ਲਿਖਾ ਜਾਤਾ ਹੈ।
For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.
GitHub repository scan Pro+
Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.
Repo scans ਤੁਹਾਡੇ repo ਮੇਂ ਕਭੀ write ਨਹੀਂ ਕਰਤੇ ਅਤੇ source code persist ਨਹੀਂ ਕਰਤੇ — ਕੇਵਲ finding evidence store ਹੋਤਾ ਹੈ। Quota: URL scans ਵਾਲਾ ਉਹੀ scansPerMonth bucket।
API ਸੇ trigger ਕਰੋ
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.
Anonymous one-shot scan
Home page ਬਿਨਾ sign up ਕਿਏ visitors ਕੋ browser session ਮੇਂ ਏਕ single passive scan ਚਲਾਨੇ ਦੇਤਾ ਹੈ। ਯੇ scans creation ਕੇ 24 ਘਂਟੇ ਬਾਦ expire ਹੋਤੇ ਹਨ ਅਤੇ expire ਹੋਨੇ ਸੇ ਪਹਲੇ sign up ਕਰਕੇ real account ਮੇਂ migrate ਕਿਏ ਜਾ ਸਕਤੇ ਹਨ — auth callback anonymous scan ਕੋ ਨਏ org ਸੇ automatically attach ਕਰਤਾ ਹੈ।