// docs / scans
Scan வகைகள்
FixVibe மூன்று வகை targets மீது மூன்று வகை scans ஐ இயக்குகிறது. ஒவ்வொன்றுக்கும் வேறு gating, வேறு வேகம், வேறு blast radius உள்ளது — நீங்கள் சோதிப்பதற்கு பொருந்துவதைத் தேர்ந்தெடுக்கவும்.
செயலற்ற
Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.
இது read-only என்பதால், passive எந்த URL மீதும் இயங்கலாம் — domain verification இல்லை, attestation இல்லை. பரிமாற்றம் depth: input அனுப்பியால்தான் கண்டுபிடிக்க முடியும் விஷயங்களை passive தவறவிடும்.
Passive கண்டுபிடிப்பவை
- இல்லாத security headers (HSTS, CSP, frame-options, போன்றவை).
- பாதுகாப்பற்ற cookie attributes (Secure / HttpOnly / SameSite இல்லை).
- பலவீனமான TLS configuration, காலாவதியான certs, இல்லாத HSTS preload.
- JS bundles இல் secrets (Supabase service keys, AWS keys, Stripe sk_, போன்றவை).
- வெளிப்பட்ட source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
- திறந்த Supabase RLS / Firebase rules / Clerk misconfiguration.
- DNS (subdomain takeover, இல்லாத SPF/DKIM/DMARC).
- Threat-intel பட்டியல்கள் (Spamhaus, URLhaus).
- அறியப்பட்ட CVEs உடைய outdated framework versions.
செயலில் Hobby+
Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.
ஏன் gate செய்கிறோம்: attestation flow
Active probes கோட்பாட்டில் production ஐ பாதிக்கலாம் — மந்தமான responses, error spikes, test stores இல் குப்பை data. ஆகவே நீங்கள் செய்ய வேண்டியது:
- Domain ஐ verify செய்யவும் DNS TXT அல்லது HTTP file மூலம் (Account → Domains).
- Authorization ஐ attest செய்யவும் — scan தொடங்கும் நேரத்தில் உங்களுக்கு permission உள்ளது எனச் சொல்வதற்கான ஒரே confirmation. உங்கள் IP, user-agent, timestamp உடன் server-stamped;
audit_logsஇல் எழுதப்படும்.
For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.
GitHub repository scan Pro+
Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.
Repo scans உங்கள் repo வில் எழுதாது; source code ஐ persist செய்யாது — finding evidence மட்டும் stored ஆகும். Quota: URL scans உடன் அதே scansPerMonth bucket.
API மூலம் trigger செய்யவும்
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.
Anonymous ஒருமுறை scans
Home page unsigned-up visitors க்கு ஒரு browser session க்கு ஒரு passive scan இயக்க அனுமதிக்கிறது. இந்த scans உருவாக்கப்பட்ட 24 மணி நேரத்திற்கு பிறகு expire ஆகும்; அவை expire ஆகும் முன் sign up செய்தால் real account க்கு migrate செய்யலாம் — auth callback anonymous scan ஐ புதிய org உடன் தானாக attach செய்கிறது.