FixVibe

// docs / scans

Tipos de varredura

O FixVibe executa três tipos de varredura contra três tipos de alvos. Cada uma tem controles, velocidade e raio de impacto diferentes — escolha a que corresponde ao que você está testando.

Passiva

Disponível em todos os níveis. Uma varredura passiva nunca envia entradas de ataque elaboradas; ele busca URL como um navegador normal e verifica as respostas enviadas, os ativos do cliente, a exposição BaaS, DNS e a postura de segurança pública em relação a 260+ passive checks.

Por ser somente leitura, a passiva pode rodar contra qualquer URL — sem verificação de domínio, sem atestação. A contrapartida é a profundidade: a passiva perde tudo o que exige envio de entrada para descobrir.

O que a passiva detecta

  • Headers de segurança ausentes (HSTS, CSP, frame-options etc.).
  • Atributos de cookie inseguros (sem Secure / HttpOnly / SameSite).
  • Configuração TLS fraca, certificados expirados, HSTS preload ausente.
  • Segredos em bundles JS (chaves de serviço Supabase, chaves AWS, Stripe sk_ etc.).
  • Source maps expostos, endpoints de debug, specs OpenAPI, introspecção GraphQL.
  • Supabase RLS aberto / regras Firebase / má configuração Clerk.
  • DNS (sequestro de subdomínio, SPF/DKIM/DMARC ausentes).
  • Listagens de threat intel (Spamhaus, URLhaus).
  • Versões de frameworks desatualizadas com CVEs conhecidos.

Ativa Hobby+

As varreduras ativas realizam verificação limitada em domínios verificados que você autorizou explicitamente. Eles estão disponíveis no plano Hobby e em níveis superiores (Pro, Unlimited) e são projetados para confirmar comportamento de risco sem publicar as receitas de sondagem subjacentes.

Por que exigimos isso: o fluxo de atestação

Sondas ativas podem teoricamente afetar produção — respostas lentas, picos de erro, dados inválidos em stores de teste. Exigimos que você:

  1. Verifique o domínio via DNS TXT ou um arquivo HTTP (Conta → Domínios).
  2. Ateste a autorização — uma confirmação única no início da varredura dizendo que você tem permissão. Carimbada pelo servidor com seu IP, user-agent e timestamp; gravada em audit_logs.

Para novas verificações agendadas e API/MCP ativações, a autorização do domínio é registrada em Dashboard → Domains e pode ser revogada a qualquer momento. As verificações ativas automatizadas usam o nível de segurança autorizado para esse domínio.

Repositório GitHub Pro+

As varreduras de repositório ignoram os testes URL implantados e revisam a fonte por meio da conexão FixVibe GitHub App ou OAuth. Eles relatam riscos de código de alta confiança, dependência e segurança do repositório sem armazenar seu código-fonte.

Varreduras de repositório nunca escrevem no seu repo e nunca persistem código-fonte — só a evidência dos findings é armazenada. Cota: o mesmo bucket scansPerMonth das varreduras de URL.

Disparar via API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API e MCP podem iniciar verificações passivas e podem iniciar verificações ativas para domínios verificados que foram explicitamente autorizados em Dashboard → Domains. Referência completa: /docs/api.

Varreduras anônimas únicas

A página inicial permite que visitantes sem cadastro executem uma única varredura passiva por sessão do navegador. Essas varreduras expiram 24 horas após a criação e podem ser migradas para uma conta real se você se cadastrar antes de expirarem — o callback de autenticação anexa automaticamente a varredura anônima à nova organização.

Tipos de varredura — Docs · FixVibe