FixVibe

// docs / scans

ประเภทการสแกน

FixVibe รันการสแกนสามชนิดกับเป้าหมายสามชนิด แต่ละชนิดมีเงื่อนไขการเปิดใช้ ความเร็ว และขอบเขตผลกระทบต่างกัน — เลือกชนิดที่ตรงกับสิ่งที่คุณกำลังทดสอบ

แบบ Passive

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

เพราะเป็น read-only, passive จึงรันกับ URL ใดก็ได้ — ไม่ต้องยืนยันโดเมน ไม่ต้อง attestation ข้อแลกเปลี่ยนคือความลึก: passive จะพลาดทุกอย่างที่ต้องส่ง input เพื่อค้นหา

Passive ตรวจจับอะไรได้บ้าง

  • Security headers ที่ขาดหาย (HSTS, CSP, frame-options ฯลฯ)
  • คุณสมบัติ cookie ที่ไม่ปลอดภัย (ไม่มี Secure / HttpOnly / SameSite)
  • การตั้งค่า TLS อ่อน, certificate หมดอายุ, ขาด HSTS preload
  • Secrets ใน JS bundles (Supabase service keys, AWS keys, Stripe sk_ ฯลฯ)
  • Source maps, debug endpoints, OpenAPI specs, GraphQL introspection ที่เปิดเผย
  • Supabase RLS / Firebase rules / Clerk misconfiguration ที่เปิดอยู่
  • DNS (subdomain takeover, ขาด SPF/DKIM/DMARC)
  • Threat-intel listings (Spamhaus, URLhaus)
  • Framework versions ที่ล้าสมัยและมี CVE ที่รู้จัก

แบบ Active Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

ทำไมเราจึงตั้งเงื่อนไข: ขั้นตอน attestation

Active probes อาจกระทบ production ได้ในทางทฤษฎี — response ช้า, error พุ่ง, ข้อมูลขยะใน test stores เราจึงกำหนดให้คุณ:

  1. ยืนยันโดเมน ผ่าน DNS TXT หรือ HTTP file (Account → Domains)
  2. ยืนยัน authorization — การยืนยันครั้งเดียวตอนเริ่ม scan ว่าคุณมีสิทธิ์ ประทับตราฝั่ง server ด้วย IP, user-agent และ timestamp ของคุณ แล้วเขียนลง audit_logs

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

รีพอสิทอรี GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans ไม่เขียนกลับไปยัง repo ของคุณและไม่ persist source code — เก็บเฉพาะ finding evidence โควตา: bucket scansPerMonth เดียวกับ URL scans

Trigger ผ่าน API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

การสแกนครั้งเดียวแบบไม่ระบุตัวตน

หน้า home ให้ผู้เยี่ยมชมที่ยังไม่ได้สมัครรัน passive scan ได้หนึ่งครั้งต่อ browser session scans เหล่านี้หมดอายุ 24 ชั่วโมงหลังสร้าง และสามารถ migrate ไปยังบัญชีจริงได้โดยสมัครก่อนหมดอายุ — auth callback จะผูก anonymous scan เข้ากับ org ใหม่อัตโนมัติ