FixVibe

// docs / scans

Llojet e skanimeve

FixVibe ekzekuton tre lloje skanimesh ndaj tre llojeve objektivash. Secili ka kushte të ndryshme, shpejtësi të ndryshme dhe rreze të ndryshme ndikimi — zgjidhni atë që përputhet me testin tuaj.

Pasiv

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Meqë është read-only, passive mund të ekzekutohet ndaj çdo URL-je — pa domain verification, pa attestation. Kompromisi është thellësia: passive humb gjithçka që kërkon dërgim input për t'u zbuluar.

Çfarë kap passive

  • Security headers që mungojnë (HSTS, CSP, frame-options etj.).
  • Cookie attributes të pasigurta (pa Secure / HttpOnly / SameSite).
  • TLS configuration e dobët, certs të skaduara, HSTS preload që mungon.
  • Secrets në JS bundles (Supabase service keys, AWS keys, Stripe sk_ etj.).
  • Source maps të ekspozuara, debug endpoints, OpenAPI specs, GraphQL introspection.
  • Supabase RLS / Firebase rules / Clerk misconfiguration të hapura.
  • DNS (subdomain takeover, SPF/DKIM/DMARC që mungojnë).
  • Threat-intel listings (Spamhaus, URLhaus).
  • Framework versions të vjetruara me CVEs të njohura.

Aktiv Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Pse e kufizojmë: attestation flow

Active probes teorikisht mund të ndikojnë production — slow responses, error spikes, garbage data in test stores. Ne kërkojmë që ju të:

  1. Verifikoni domenin përmes DNS TXT ose një HTTP file (Account → Domains).
  2. Attest authorization — një konfirmim i vetëm në scan-start time që thotë se keni leje. Server-stamped me IP, user-agent dhe timestamp tuaj; shkruhet te audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans nuk shkruajnë kurrë në repo tuaj dhe nuk persist source code — ruhet vetëm finding evidence. Quota: i njëjti bucket scansPerMonth si URL scans.

Nisje përmes API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Skanime anonime një-herëshe

Home page u lejon vizitorëve unsigned-up të nisin një passive scan të vetëm për browser session. Këto scans skadojnë 24 orë pas creation dhe mund të migrate në real account duke u regjistruar para se të skadojnë — auth callback automatikisht e attach anonymous scan te new org.

Llojet e skanimeve — Docs · FixVibe