// docs / scans
Типы сканирования
FixVibe запускает три вида сканирований для трех видов целей. У каждого свои ограничения доступа, скорость и радиус воздействия: выбери тот, который подходит твоей проверке.
Пассивное
Доступно на каждом уровне. Пассивное сканирование никогда не отправляет подготовленные данные для атаки; он извлекает URL, как обычный браузер, и проверяет отправленные ответы, клиентские ресурсы, уязвимость BaaS, DNS и состояние общественной безопасности относительно 260+ passive checks.
Поскольку оно read-only, пассивное сканирование можно запускать для любого URL — без подтверждения домена и без attestation. Компромисс в глубине: passive пропускает все, что требует отправки ввода для обнаружения.
Что находит passive
- Отсутствующие security headers (HSTS, CSP, frame-options и т. д.).
- Небезопасные атрибуты cookie (нет Secure / HttpOnly / SameSite).
- Слабая конфигурация TLS, истекшие сертификаты, отсутствующий HSTS preload.
- Секреты в JS bundles (Supabase service keys, AWS keys, Stripe sk_ и т. д.).
- Открытые source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
- Открытый Supabase RLS / Firebase rules / неверная настройка Clerk.
- DNS (subdomain takeover, отсутствующие SPF/DKIM/DMARC).
- Списки threat-intel (Spamhaus, URLhaus).
- Устаревшие версии фреймворков с известными CVE.
Активное Hobby+
Активное сканирование выполняет ограниченную проверку на проверенных доменах, которые вы явно авторизовали. Они доступны в плане Hobby и более высоких уровнях (Pro, Unlimited) и предназначены для подтверждения рискованного поведения без публикации базовых рецептов проб.
Почему мы это ограничиваем: поток attestation
Активные пробы теоретически могут повлиять на production: медленные ответы, всплески ошибок, мусорные данные в test stores. Мы требуем, чтобы ты:
- Подтвердил домен через DNS TXT или HTTP file (Account → Domains).
- Подтвердил authorization — одно подтверждение при старте сканирования, что у тебя есть разрешение. Сервер добавляет IP, user-agent и timestamp; запись идет в
audit_logs.
При плановых повторных проверках и активных запусках API/MCP авторизация домена фиксируется от Dashboard → Domains и может быть отозвана в любой момент. Автоматические активные сканирования используют авторизованный уровень безопасности для этого домена.
GitHub-репозиторий Pro+
Сканирование репозитория пропускает развернутое тестирование URL и проверяет исходный код через соединение FixVibe GitHub App или OAuth. Они сообщают о высоконадежном коде, зависимостях и рисках безопасности репозитория, не сохраняя при этом исходный код.
Repo scans никогда не пишут в твой репозиторий и никогда не сохраняют исходный код — хранится только evidence находок. Квота: тот же bucket scansPerMonth, что и для URL scans.
Запуск через API
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API и MCP могут запускать пассивное сканирование, а также могут запускать активное сканирование проверенных доменов, которые были явно авторизованы в Dashboard → Domains. Полная ссылка: /docs/api.
Анонимные одноразовые сканирования
Главная страница позволяет незарегистрированным посетителям запустить одно пассивное сканирование за browser session. Такие сканирования истекают через 24 часа после создания и могут быть перенесены в реальный аккаунт, если зарегистрироваться до истечения срока — auth callback автоматически привяжет anonymous scan к новой org.
