Типы сканирования

Пассивное

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Поскольку оно read-only, пассивное сканирование можно запускать для любого URL — без подтверждения домена и без attestation. Компромисс в глубине: passive пропускает все, что требует отправки ввода для обнаружения.

Что находит passive

• Отсутствующие security headers (HSTS, CSP, frame-options и т. д.).
• Небезопасные атрибуты cookie (нет Secure / HttpOnly / SameSite).
• Слабая конфигурация TLS, истекшие сертификаты, отсутствующий HSTS preload.
• Секреты в JS bundles (Supabase service keys, AWS keys, Stripe sk_ и т. д.).
• Открытые source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
• Открытый Supabase RLS / Firebase rules / неверная настройка Clerk.
• DNS (subdomain takeover, отсутствующие SPF/DKIM/DMARC).
• Списки threat-intel (Spamhaus, URLhaus).
• Устаревшие версии фреймворков с известными CVE.

Активное Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Почему мы это ограничиваем: поток attestation

Активные пробы теоретически могут повлиять на production: медленные ответы, всплески ошибок, мусорные данные в test stores. Мы требуем, чтобы ты:

1. Подтвердил домен через DNS TXT или HTTP file (Account → Domains).
2. Подтвердил authorization — одно подтверждение при старте сканирования, что у тебя есть разрешение. Сервер добавляет IP, user-agent и timestamp; запись идет в audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub-репозиторий Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans никогда не пишут в твой репозиторий и никогда не сохраняют исходный код — хранится только evidence находок. Квота: тот же bucket scansPerMonth, что и для URL scans.

Запуск через API

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Анонимные одноразовые сканирования

Главная страница позволяет незарегистрированным посетителям запустить одно пассивное сканирование за browser session. Такие сканирования истекают через 24 часа после создания и могут быть перенесены в реальный аккаунт, если зарегистрироваться до истечения срока — auth callback автоматически привяжет anonymous scan к новой org.