FixVibe

// docs / scans

Typy skenovania

FixVibe spúšťa tri druhy skenovaní proti trom druhom cieľov. Každý má iné obmedzenia, inú rýchlosť a iný dosah, vyber si ten, ktorý zodpovedá tomu, čo testuješ.

Pasívny

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Keďže je iba na čítanie, pasívny sken môže bežať proti akejkoľvek URL, bez overenia domény a bez potvrdenia oprávnenia. Kompromis je hĺbka: pasívny sken minie všetko, čo si na odhalenie vyžaduje poslanie vstupu.

Čo pasívny sken zachytí

  • Chýbajúce bezpečnostné hlavičky (HSTS, CSP, frame-options atď.).
  • Nezabezpečené atribúty cookies (bez Secure / HttpOnly / SameSite).
  • Slabá konfigurácia TLS, expirované certifikáty, chýbajúci HSTS preload.
  • Tajomstvá v JS bundle (Supabase service keys, AWS keys, Stripe sk_ atď.).
  • Vystavené source mapy, debug endpointy, OpenAPI špecifikácie, GraphQL introspection.
  • Otvorený Supabase RLS / Firebase rules / nesprávna konfigurácia Clerk.
  • DNS (subdomain takeover, chýbajúce SPF/DKIM/DMARC).
  • Záznamy v threat-intel zoznamoch (Spamhaus, URLhaus).
  • Zastarané verzie frameworkov so známymi CVE.

Aktívny Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Prečo to viažeme na potvrdenie: attestation flow

Aktívne sondy môžu teoreticky ovplyvniť produkciu: pomalé odpovede, nárast chýb, odpadové dáta v testovacích úložiskách. Vyžadujeme, aby si:

  1. Overil doménu cez DNS TXT alebo HTTP súbor (Account → Domains).
  2. Potvrdil oprávnenie — jedno potvrdenie pri štarte skenu, že máš povolenie. Server ho označí tvojou IP, user-agentom a časovou pečiatkou; zapíše sa do audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repozitár Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo skeny nikdy nezapisujú do tvojho repozitára a nikdy neukladajú zdrojový kód, ukladá sa iba dôkaz nálezu. Kvóta: rovnaký bucket scansPerMonth ako pri URL skenoch.

Spustenie cez API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonymné jednorazové skeny

Domovská stránka dovolí neprihláseným návštevníkom spustiť jeden pasívny sken na reláciu prehliadača. Tieto skeny expirujú 24 hodín po vytvorení a dajú sa migrovať do reálneho účtu, ak sa zaregistruješ pred expiráciou; auth callback automaticky pripojí anonymný sken k novej org.

Typy skenovania — Docs · FixVibe