FixVibe

// docs / scans

Tipuri de scanare

FixVibe rulează trei feluri de scanări pentru trei feluri de ținte. Fiecare are reguli de acces diferite, viteză diferită și rază de impact diferită: alege-o pe cea care se potrivește testului tău.

Pasivă

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Pentru că este doar citire, scanarea pasivă poate rula pe orice URL: fără verificare de domeniu, fără atestare. Compromisul este profunzimea: pasiva ratează tot ce necesită trimiterea de input pentru a fi descoperit.

Ce prinde scanarea pasivă

  • Antete de securitate lipsă (HSTS, CSP, frame-options etc.).
  • Atribute de cookie nesigure (fără Secure / HttpOnly / SameSite).
  • Configurație TLS slabă, certificate expirate, HSTS preload lipsă.
  • Secrete în pachete JS (chei de serviciu Supabase, chei AWS, Stripe sk_ etc.).
  • Source maps expuse, endpoint-uri de debug, specificații OpenAPI, introspecție GraphQL.
  • Supabase RLS deschis / reguli Firebase / configurare greșită Clerk.
  • DNS (preluare de subdomeniu, SPF/DKIM/DMARC lipsă).
  • Listări threat-intel (Spamhaus, URLhaus).
  • Versiuni de framework învechite cu CVE-uri cunoscute.

Activă Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

De ce o condiționăm: fluxul de atestare

Probele active pot afecta teoretic producția: răspunsuri lente, vârfuri de erori, date inutile în stocări de test. Îți cerem să:

  1. Verifici domeniul prin DNS TXT sau un fișier HTTP (Account → Domains).
  2. Atestezi autorizarea: o singură confirmare la pornirea scanării că ai permisiune. Este marcată server-side cu IP-ul, user-agentul și timestampul tău; scrisă în audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Repository GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Scanările de repo nu scriu niciodată în repo-ul tău și nu persistă niciodată cod sursă: se stochează doar dovezile constatărilor. Cotă: același bucket scansPerMonth ca scanările URL.

Declanșează prin API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Scanări anonime unice

Pagina principală le permite vizitatorilor neautentificați să ruleze o singură scanare pasivă per sesiune de browser. Aceste scanări expiră la 24 de ore după creare și pot fi migrate către un cont real prin înscriere înainte să expire: callbackul de autentificare atașează automat scanarea anonimă la noua organizație.

Tipuri de scanare — Docs · FixVibe