FixVibe

// docs / scans

Skanningstyper

FixVibe kör tre sorters skanningar mot tre sorters mål. Var och en har olika grindning, olika hastighet och olika räckvidd - välj den som passar det du testar.

Passiv

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Eftersom den är skrivskyddad kan passiv skanning koras mot vilken URL som helst - ingen domänverifiering, ingen attest. Avvagningen är djup: passiv missar allt som kräver att input skickas för att upptackas.

Vad passiv hittar

  • Saknade säkerhetsheaders (HSTS, CSP, frame-options osv.).
  • Osäkra cookie-attribut (ingen Secure / HttpOnly / SameSite).
  • Svag TLS-konfiguration, utgangna certifikat, saknad HSTS preload.
  • Hemligheter i JS-bundles (Supabase service keys, AWS-nycklar, Stripe sk_ osv.).
  • Exponerade source maps, debug-endpoints, OpenAPI-specifikationer, GraphQL-introspektion.
  • Öppna Supabase RLS / Firebase-regler / Clerk-felkonfiguration.
  • DNS (subdomain takeover, saknad SPF/DKIM/DMARC).
  • Threat-intel-listningar (Spamhaus, URLhaus).
  • Föråldrade ramverksversioner med kanda CVE:er.

Aktiv Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Varfor vi grindar det: attestflodet

Aktiva prober kan teoretiskt paverka produktion - långsamma svar, felspikar, skräpdata i testlager. Vi kräver att du:

  1. Verifierar domänen via DNS TXT eller en HTTP-fil (Konto → Domäner).
  2. Intygar behörighet - en enda bekräftelse vid skanningsstart som säger att du har tillstånd. Serverstämplas med din IP, user-agent och tidsstämpel; skrivs till audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub-repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Reposkanningar skriver aldrig till ditt repo och sparar aldrig källkod - endast fyndevidens lagras. Kvot: samma scansPerMonth-bucket som URL-skanningar.

Trigga via API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Anonyma engångsskanningar

Startsidan låter oinloggade besökare köra en enda passiv skanning per webbläsarsession. Dessa skanningar upphör 24 timmar efter skapande och kan migreras till ett riktigt konto genom att registrera dig innan de löper ut - auth-callbacken kopplar automatiskt den anonyma skanningen till den nya organisationen.

Skanningstyper — Docs · FixVibe