FixVibe

// docs / scans

Vrste skeniranj

FixVibe izvaja tri vrste skeniranj nad tremi vrstami ciljev. Vsaka ima drugačno upravljanje dostopa, hitrost in doseg vpliva — izberi tisto, ki ustreza temu, kar testiraš.

Pasivno

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Ker je samo za branje, lahko pasivno skeniranje teče proti kateremu koli URL-ju — brez preverjanja domene in brez potrditve. Kompromis je globina: pasivno skeniranje zgreši vse, kar zahteva pošiljanje vnosa za odkritje.

Kaj ujame pasivno skeniranje

  • Manjkajoče varnostne glave (HSTS, CSP, frame-options itd.).
  • Nevarni atributi piškotkov (brez Secure / HttpOnly / SameSite).
  • Šibka konfiguracija TLS, potekla potrdila, manjkajoč HSTS preload.
  • Skrivnosti v paketih JS (ključi Supabase service, ključi AWS, Stripe sk_ itd.).
  • Izpostavljene source mape, razhroščevalne končne točke, specifikacije OpenAPI, introspekcija GraphQL.
  • Odprt Supabase RLS / pravila Firebase / napačna konfiguracija Clerk.
  • DNS (prevzem poddomene, manjkajoči SPF/DKIM/DMARC).
  • Seznami threat-intel (Spamhaus, URLhaus).
  • Zastarele različice ogrodij z znanimi CVE-ji.

Aktivno Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Zakaj to zaklepamo: potek potrditve

Aktivne sonde lahko teoretično vplivajo na produkcijo — počasni odzivi, porasti napak, neželeni podatki v testnih shrambah. Zahtevamo, da:

  1. Preveri domeno prek DNS TXT ali HTTP datoteke (Račun → Domene).
  2. Potrdi pooblastilo — enkratna potrditev ob začetku skeniranja, da imaš dovoljenje. Strežnik jo ožigosa s tvojim IP-jem, user-agentom in časovnim žigom; zapis gre v audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repozitorij Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Skeniranja repozitorijev nikoli ne pišejo v tvoj repo in nikoli ne hranijo izvorne kode — shranjeni so samo dokazi ugotovitev. Kvota: isti koš scansPerMonth kot za URL skeniranja.

Sproži prek API-ja

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonimna enkratna skeniranja

Domača stran neprijavljenim obiskovalcem omogoča zagon enega pasivnega skeniranja na sejo brskalnika. Ta skeniranja potečejo 24 ur po ustvarjanju in jih je mogoče preseliti v pravi račun, če se prijaviš pred potekom — povratni klic avtentikacije anonimno skeniranje samodejno pripne novi organizaciji.

Vrste skeniranj — Docs · FixVibe