FixVibe

// docs / scans

Tarama türleri

FixVibe üç tür hedefe karşı üç tür tarama çalıştırır. Her birinin farklı kapıları, farklı hızı ve farklı etki alanı vardır — test ettiğin şeye uyanı seç.

Pasif

Her seviyede mevcuttur. Pasif tarama asla hazırlanmış saldırı girdisi göndermez; normal bir tarayıcı gibi URL'yi getirir ve gönderilen yanıtları, müşteri varlıklarını, BaaS görünürlüğünü, DNS ve 260+ passive checks'ye karşı kamu güvenliği duruşunu kontrol eder.

Read-only olduğu için pasif tarama herhangi bir URL'ye karşı çalışabilir — domain doğrulaması yok, onay yok. Bedeli derinliktir: pasif tarama, keşfetmek için input göndermeyi gerektiren her şeyi kaçırır.

Pasif taramanın yakaladıkları

  • Eksik security headers (HSTS, CSP, frame-options vb.).
  • Güvensiz cookie attributes (Secure / HttpOnly / SameSite yok).
  • Zayıf TLS yapılandırması, süresi dolmuş cert'ler, eksik HSTS preload.
  • JS bundles içinde sırlar (Supabase service keys, AWS keys, Stripe sk_ vb.).
  • Açık source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
  • Açık Supabase RLS / Firebase rules / Clerk yanlış yapılandırması.
  • DNS (subdomain takeover, eksik SPF/DKIM/DMARC).
  • Threat-intel listeleri (Spamhaus, URLhaus).
  • Bilinen CVE'leri olan eski framework sürümleri.

Aktif Hobby+

Aktif taramalar, açıkça yetkilendirdiğiniz doğrulanmış alanlara karşı sınırlı doğrulama gerçekleştirir. Bunlar Hobby planında ve daha yüksek katmanlarda (Pro, Unlimited) mevcuttur ve temel prob tariflerini yayınlamadan riskli davranışları doğrulamak için tasarlanmıştır.

Neden kapı koyuyoruz: onay akışı

Aktif problar teorik olarak production'ı etkileyebilir — yavaş yanıtlar, hata sıçramaları, test depolarında çöp veri. Senden şunları isteriz:

  1. Domain'i doğrula DNS TXT veya HTTP file ile (Hesap → Domains).
  2. Yetkini onayla — tarama başlangıcında iznin olduğunu söyleyen tek bir onay. IP'n, user-agent'ın ve timestamp ile server tarafından damgalanır; audit_logs'a yazılır.

Planlanmış yeniden taramalar ve API/MCP etkin başlatmalar için, alan adı yetkilendirmesi Dashboard → Domains'den kaydedilir ve istenildiği zaman iptal edilebilir. Otomatik etkin taramalar, o etki alanı için yetkili güvenlik düzeyini kullanır.

GitHub deposu Pro+

Repo taramaları, dağıtılan URL testini atlar ve FixVibe GitHub App veya OAuth bağlantınız aracılığıyla kaynağı gözden geçirir. Kaynak kodunuzu saklamadan yüksek güvenirliğe sahip kod, bağımlılık ve depo güvenliği risklerini bildirirler.

Repo taramaları repo'na asla yazmaz ve source code'u asla kalıcı saklamaz — yalnızca bulgu evidence'ı saklanır. Kota: URL taramalarıyla aynı scansPerMonth kovası.

API ile tetikle

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API ve MCP, pasif taramalar başlatabilir ve Dashboard → Domains'de açıkça yetkilendirilmiş doğrulanmış alanlar için aktif taramalar başlatabilir. Tam referans: /docs/api.

Anonim tek seferlik taramalar

Ana sayfa, giriş yapmamış ziyaretçilerin browser session başına tek bir pasif tarama çalıştırmasına izin verir. Bu taramalar oluşturulduktan 24 saat sonra sona erer ve süreleri dolmadan kaydolursan gerçek bir hesaba taşınabilir — auth callback anonim taramayı otomatik olarak yeni org'a bağlar.

Tarama türleri — Docs · FixVibe