// docs / scans
Tipos de varredura
O FixVibe executa três tipos de varredura contra três tipos de alvos. Cada uma tem controles, velocidade e raio de impacto diferentes — escolha a que corresponde ao que você está testando.
Passiva
Disponível em todos os níveis. Uma varredura passiva nunca envia entradas de ataque elaboradas; ele busca URL como um navegador normal e verifica as respostas enviadas, os ativos do cliente, a exposição BaaS, DNS e a postura de segurança pública em relação a 260+ passive checks.
Por ser somente leitura, a passiva pode rodar contra qualquer URL — sem verificação de domínio, sem atestação. A contrapartida é a profundidade: a passiva perde tudo o que exige envio de entrada para descobrir.
O que a passiva detecta
- Headers de segurança ausentes (HSTS, CSP, frame-options etc.).
- Atributos de cookie inseguros (sem Secure / HttpOnly / SameSite).
- Configuração TLS fraca, certificados expirados, HSTS preload ausente.
- Segredos em bundles JS (chaves de serviço Supabase, chaves AWS, Stripe sk_ etc.).
- Source maps expostos, endpoints de debug, specs OpenAPI, introspecção GraphQL.
- Supabase RLS aberto / regras Firebase / má configuração Clerk.
- DNS (sequestro de subdomínio, SPF/DKIM/DMARC ausentes).
- Listagens de threat intel (Spamhaus, URLhaus).
- Versões de frameworks desatualizadas com CVEs conhecidos.
Ativa Hobby+
As varreduras ativas realizam verificação limitada em domínios verificados que você autorizou explicitamente. Eles estão disponíveis no plano Hobby e em níveis superiores (Pro, Unlimited) e são projetados para confirmar comportamento de risco sem publicar as receitas de sondagem subjacentes.
Por que exigimos isso: o fluxo de atestação
Sondas ativas podem teoricamente afetar produção — respostas lentas, picos de erro, dados inválidos em stores de teste. Exigimos que você:
- Verifique o domínio via DNS TXT ou um arquivo HTTP (Conta → Domínios).
- Ateste a autorização — uma confirmação única no início da varredura dizendo que você tem permissão. Carimbada pelo servidor com seu IP, user-agent e timestamp; gravada em
audit_logs.
Para novas verificações agendadas e API/MCP ativações, a autorização do domínio é registrada em Dashboard → Domains e pode ser revogada a qualquer momento. As verificações ativas automatizadas usam o nível de segurança autorizado para esse domínio.
Repositório GitHub Pro+
As varreduras de repositório ignoram os testes URL implantados e revisam a fonte por meio da conexão FixVibe GitHub App ou OAuth. Eles relatam riscos de código de alta confiança, dependência e segurança do repositório sem armazenar seu código-fonte.
Varreduras de repositório nunca escrevem no seu repo e nunca persistem código-fonte — só a evidência dos findings é armazenada. Cota: o mesmo bucket scansPerMonth das varreduras de URL.
Disparar via API
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API e MCP podem iniciar verificações passivas e podem iniciar verificações ativas para domínios verificados que foram explicitamente autorizados em Dashboard → Domains. Referência completa: /docs/api.
Varreduras anônimas únicas
A página inicial permite que visitantes sem cadastro executem uma única varredura passiva por sessão do navegador. Essas varreduras expiram 24 horas após a criação e podem ser migradas para uma conta real se você se cadastrar antes de expirarem — o callback de autenticação anexa automaticamente a varredura anônima à nova organização.
