// docs / scans

اسکین کی اقسام

FixVibe تین قسم کے targets کے خلاف تین قسم کے scans چلاتا ہے۔ ہر ایک کی gating، speed، اور blast radius مختلف ہے؛ وہ منتخب کریں جو آپ کے test سے match کرتا ہو۔

Passive

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

چونکہ یہ read-only ہے، passive کسی بھی URL کے خلاف چل سکتا ہے؛ کوئی domain verification نہیں، کوئی attestation نہیں۔ Trade-off depth ہے: passive ہر اس چیز کو miss کرتا ہے جس کی discovery کے لیے input بھیجنا لازم ہو۔

Passive کیا پکڑتا ہے

غائب security headers (HSTS، CSP، frame-options، وغیرہ)۔
غیر محفوظ cookie attributes (Secure / HttpOnly / SameSite نہیں)۔
Weak TLS configuration، expired certs، missing HSTS preload۔
JS bundles میں secrets، جیسے Supabase service keys، AWS keys، Stripe sk_، وغیرہ۔
Exposed source maps، debug endpoints، OpenAPI specs، GraphQL introspection۔
Open Supabase RLS، Firebase rules، یا Clerk misconfiguration۔
DNS، جیسے subdomain takeover اور missing SPF/DKIM/DMARC۔
Threat-intel listings، جیسے Spamhaus اور URLhaus۔
Known CVEs والے outdated framework versions۔

Active Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

ہم اسے gate کیوں کرتے ہیں: attestation flow

Active probes نظری طور پر production کو affect کر سکتے ہیں: slow responses، error spikes، test stores میں garbage data۔ ہم آپ سے require کرتے ہیں کہ آپ:

Domain verify کریں DNS TXT یا HTTP file کے ذریعے (Account → Domains)۔
Authorization attest کریں — scan-start time پر ایک confirmation کہ آپ کے پاس permission ہے۔ یہ آپ کے IP، user-agent، اور timestamp کے ساتھ server-stamped ہوتی ہے؛ audit_logs میں لکھی جاتی ہے۔

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub مخزن Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans کبھی آپ کے repo میں write نہیں کرتے اور source code persist نہیں کرتے؛ صرف finding evidence store ہوتی ہے۔ Quota: URL scans جیسا ہی scansPerMonth bucket۔

API کے ذریعے trigger کریں

curl

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

بے نام ایک بار کے scans

Home page unsigned-up visitors کو ہر browser session میں ایک single passive scan چلانے دیتا ہے۔ یہ scans creation کے 24 hours بعد expire ہو جاتے ہیں اور expire ہونے سے پہلے sign up کر کے real account میں migrate ہو سکتے ہیں؛ auth callback anonymous scan کو new org سے automatically attach کر دیتا ہے۔