FixVibe

// docs / scans

Loại quét

FixVibe chạy ba kiểu quét trên ba kiểu mục tiêu. Mỗi kiểu có điều kiện mở khóa, tốc độ và phạm vi tác động khác nhau — hãy chọn kiểu phù hợp với thứ bạn đang kiểm thử.

Thụ động

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Vì chỉ đọc, quét thụ động có thể chạy trên bất kỳ URL nào — không cần xác minh tên miền, không cần xác nhận quyền. Đổi lại là độ sâu: thụ động bỏ lỡ mọi thứ cần gửi input mới phát hiện được.

Quét thụ động bắt được gì

  • Thiếu security header (HSTS, CSP, frame-options, v.v.).
  • Thuộc tính cookie không an toàn (thiếu Secure / HttpOnly / SameSite).
  • Cấu hình TLS yếu, chứng chỉ hết hạn, thiếu HSTS preload.
  • Secret trong JS bundle (Supabase service keys, AWS keys, Stripe sk_, v.v.).
  • Source map bị lộ, debug endpoint, đặc tả OpenAPI, GraphQL introspection.
  • Supabase RLS / Firebase rules / cấu hình Clerk bị mở.
  • DNS (subdomain takeover, thiếu SPF/DKIM/DMARC).
  • Danh sách threat-intel (Spamhaus, URLhaus).
  • Phiên bản framework lỗi thời có CVE đã biết.

Chủ động Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Vì sao chúng tôi đặt cổng: luồng xác nhận

Thăm dò chủ động về lý thuyết có thể ảnh hưởng production — phản hồi chậm, lỗi tăng vọt, dữ liệu rác trong kho test. Chúng tôi yêu cầu bạn:

  1. Xác minh tên miền qua DNS TXT hoặc tệp HTTP (Account → Domains).
  2. Xác nhận quyền — một lần xác nhận tại thời điểm bắt đầu quét rằng bạn có quyền. Máy chủ đóng dấu IP, user-agent và timestamp của bạn; ghi vào audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

Kho GitHub Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Quét repo không bao giờ ghi vào repo của bạn và không bao giờ lưu mã nguồn — chỉ lưu bằng chứng phát hiện. Hạn mức: cùng bucket scansPerMonth với quét URL.

Kích hoạt qua API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Quét một lần ẩn danh

Trang chủ cho phép khách chưa đăng nhập chạy một lần quét thụ động duy nhất cho mỗi phiên trình duyệt. Các lần quét này hết hạn sau 24 giờ từ khi tạo và có thể chuyển vào tài khoản thật bằng cách đăng ký trước khi hết hạn — callback auth tự động gắn lần quét ẩn danh vào org mới.

Loại quét — Docs · FixVibe