FixVibe

// docs / scans

Tipos de varredura

O FixVibe executa três tipos de varredura contra três tipos de alvos. Cada uma tem controles, velocidade e raio de impacto diferentes — escolha a que corresponde ao que você está testando.

Passiva

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Por ser somente leitura, a passiva pode rodar contra qualquer URL — sem verificação de domínio, sem atestação. A contrapartida é a profundidade: a passiva perde tudo o que exige envio de entrada para descobrir.

O que a passiva detecta

  • Headers de segurança ausentes (HSTS, CSP, frame-options etc.).
  • Atributos de cookie inseguros (sem Secure / HttpOnly / SameSite).
  • Configuração TLS fraca, certificados expirados, HSTS preload ausente.
  • Segredos em bundles JS (chaves de serviço Supabase, chaves AWS, Stripe sk_ etc.).
  • Source maps expostos, endpoints de debug, specs OpenAPI, introspecção GraphQL.
  • Supabase RLS aberto / regras Firebase / má configuração Clerk.
  • DNS (sequestro de subdomínio, SPF/DKIM/DMARC ausentes).
  • Listagens de threat intel (Spamhaus, URLhaus).
  • Versões de frameworks desatualizadas com CVEs conhecidos.

Ativa Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Por que exigimos isso: o fluxo de atestação

Sondas ativas podem teoricamente afetar produção — respostas lentas, picos de erro, dados inválidos em stores de teste. Exigimos que você:

  1. Verifique o domínio via DNS TXT ou um arquivo HTTP (Conta → Domínios).
  2. Ateste a autorização — uma confirmação única no início da varredura dizendo que você tem permissão. Carimbada pelo servidor com seu IP, user-agent e timestamp; gravada em audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repositório GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Varreduras de repositório nunca escrevem no seu repo e nunca persistem código-fonte — só a evidência dos findings é armazenada. Cota: o mesmo bucket scansPerMonth das varreduras de URL.

Disparar via API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Varreduras anônimas únicas

A página inicial permite que visitantes sem cadastro executem uma única varredura passiva por sessão do navegador. Essas varreduras expiram 24 horas após a criação e podem ser migradas para uma conta real se você se cadastrar antes de expirarem — o callback de autenticação anexa automaticamente a varredura anônima à nova organização.