FixVibe

// docs / scans

Typy skanów

FixVibe uruchamia trzy rodzaje skanów na trzech rodzajach celów. Każdy ma inne wymagania, inną szybkość i inny zasięg — wybierz ten, który pasuje do tego, co testujesz.

Pasywny

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Ponieważ jest tylko do odczytu, skan pasywny może działać na dowolnym URL-u — bez weryfikacji domeny i bez atestacji. Kompromisem jest głębokość: pasywny skan pomija wszystko, co wymaga wysłania danych wejściowych, aby to odkryć.

Co wykrywa skan pasywny

  • Brakujące nagłówki bezpieczeństwa (HSTS, CSP, frame-options itd.).
  • Niebezpieczne atrybuty cookies (brak Secure / HttpOnly / SameSite).
  • Słaba konfiguracja TLS, wygasłe certyfikaty, brak HSTS preload.
  • Sekrety w bundlach JS (klucze service role Supabase, klucze AWS, Stripe sk_ itd.).
  • Ujawnione mapy źródeł, endpointy debugowania, specyfikacje OpenAPI, introspekcja GraphQL.
  • Otwarte RLS Supabase / reguły Firebase / błędna konfiguracja Clerk.
  • DNS (przejęcie subdomeny, brak SPF/DKIM/DMARC).
  • Wpisy threat-intel (Spamhaus, URLhaus).
  • Nieaktualne wersje frameworków ze znanymi CVE.

Aktywny Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Dlaczego to blokujemy: przepływ atestacji

Aktywne sondy teoretycznie mogą wpływać na produkcję — wolne odpowiedzi, skoki błędów, śmieciowe dane w testowych magazynach. Wymagamy, abyś:

  1. Zweryfikował domenę przez DNS TXT albo plik HTTP (Konto → Domeny).
  2. Potwierdził uprawnienie — jedno potwierdzenie przy starcie skanu, że masz pozwolenie. Serwer zapisuje Twój IP, user-agent i timestamp; wpis trafia do audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repozytorium GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Skany repozytoriów nigdy nie zapisują nic do Twojego repo i nigdy nie utrwalają kodu źródłowego — przechowywane są tylko dowody znalezisk. Limit: ten sam koszyk scansPerMonth co dla skanów URL.

Wyzwalanie przez API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Jednorazowe skany anonimowe

Strona główna pozwala niezarejestrowanym odwiedzającym uruchomić jeden pasywny skan na sesję przeglądarki. Te skany wygasają 24 godziny po utworzeniu i mogą zostać przeniesione do prawdziwego konta, jeśli zarejestrujesz się przed wygaśnięciem — callback auth automatycznie przypina anonimowy skan do nowej organizacji.

Typy skanów — Docs · FixVibe