FixVibe

// docs / scans

Врсте скенирања

FixVibe покреће три врсте скенирања над три врсте циљева. Свака има различито условљавање, различиту брзину и различит домет утицаја - изаберите ону која одговара ономе што тестирате.

Пасивно

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Пошто је само за читање, пасивно може да ради над било којим URL-ом - без верификације домена и без потврде овлашћења. Компромис је дубина: пасивно пропушта све што захтева слање уноса да би се открило.

Шта пасивно скенирање хвата

  • Недостајућа безбедносна заглавља (HSTS, CSP, frame-options итд.).
  • Несигурни атрибути колачића (без Secure / HttpOnly / SameSite).
  • Слаба TLS конфигурација, истекли сертификати, недостајући HSTS preload.
  • Тајне у JS bundle-овима (Supabase service keys, AWS кључеви, Stripe sk_ итд.).
  • Изложени source map-ови, debug endpoint-и, OpenAPI спецификације, GraphQL интроспекција.
  • Отворени Supabase RLS / Firebase rules / Clerk погрешна конфигурација.
  • DNS (преузимање поддомена, недостајући SPF/DKIM/DMARC).
  • Threat-intel листинзи (Spamhaus, URLhaus).
  • Застареле верзије framework-а са познатим CVE-овима.

Активно Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Зашто то условљавамо: ток потврде

Активне провере теоретски могу да утичу на продукцију - спори одговори, скокови грешака, смеће подаци у тестним складиштима. Захтевамо да:

  1. Верификујете домен преко DNS TXT записа или HTTP датотеке (Налог → Домени).
  2. Потврдите овлашћење - једна потврда при покретању скенирања да имате дозволу. Сервер је означава вашим IP-јем, user-agent-ом и временском ознаком; уписује се у audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub репозиторијум Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo скенирања никад не пишу у ваш repo и никад не чувају изворни код - чува се само доказ налаза. Квота: исти scansPerMonth bucket као URL скенирања.

Покретање преко API-ја

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Анонимна једнократна скенирања

Почетна страница омогућава непријављеним посетиоцима да покрену једно пасивно скенирање по сесији прегледача. Та скенирања истичу 24 сата након креирања и могу да се мигрирају на стварни налог регистрацијом пре истека - auth callback аутоматски прикачи анонимно скенирање новој организацији.

Врсте скенирања — Docs · FixVibe