Типи сканувань

Пасивне

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Оскільки воно лише для читання, пасивне сканування може запускатися проти будь-якого URL — без перевірки домену й без підтвердження. Компроміс — глибина: passive пропускає все, що потребує надсилання input для виявлення.

Що знаходить passive

• Відсутні security headers (HSTS, CSP, frame-options тощо).
• Небезпечні атрибути cookies (немає Secure / HttpOnly / SameSite).
• Слабка конфігурація TLS, прострочені certs, відсутній HSTS preload.
• Secrets у JS bundles (Supabase service keys, AWS keys, Stripe sk_ тощо).
• Відкриті source maps, debug endpoints, специфікації OpenAPI, introspection GraphQL.
• Відкриті Supabase RLS / Firebase rules / неправильна конфігурація Clerk.
• DNS (subdomain takeover, відсутні SPF/DKIM/DMARC).
• Записи threat-intel (Spamhaus, URLhaus).
• Застарілі версії frameworks із відомими CVEs.

Активне Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Чому ми це закриваємо: потік attestation

Активні проби теоретично можуть вплинути на production — повільні відповіді, сплески помилок, сміттєві дані в test stores. Ми вимагаємо, щоб ти:

1. Перевірив домен через DNS TXT або HTTP file (Account → Domains).
2. Підтвердив авторизацію — одноразове підтвердження на старті сканування, що ти маєш дозвіл. Сервер ставить штамп із твоїми IP, user-agent і timestamp; записує в audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub репозиторій Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Сканування репозиторіїв ніколи не пишуть у твій repo і ніколи не зберігають source code — зберігаються лише докази знахідок. Квота: той самий bucket scansPerMonth, що й для URL scans.

Запуск через API

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Анонімні одноразові сканування

Головна сторінка дозволяє незареєстрованим відвідувачам запустити одне пасивне сканування за browser session. Ці сканування спливають через 24 години після створення й можуть бути перенесені в реальний акаунт, якщо ти зареєструєшся до їхнього спливу — auth callback автоматично прикріплює анонімне сканування до нової org.