FixVibe

// docs / scans

Scan טיפּן

FixVibe לויפֿט דרײַ מינים scans קעגן דרײַ מינים צילן. יעדער האָט אַנדער gating, אַנדער גיכקייט, און אַנדער blast radius — קלייב דעם וואָס פּאַסט צו וואָס דו פּרוּווסט.

פּאַסיוו

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

ווײַל עס איז read-only, קען passive לויפֿן קעגן יעדן URL — קיין domain verification, קיין attestation. דער אָפּטויש איז טיפֿקייט: passive פֿאַרפעלט אַלץ וואָס דאַרף שיקן input צו אַנטדעקן.

וואָס passive כאַפּט

  • פֿעלנדיקע security headers (HSTS, CSP, frame-options, אאַז״ו).
  • נישט־זיכערע cookie attributes (קיין Secure / HttpOnly / SameSite).
  • שוואַכע TLS configuration, expired certs, פֿעלנדיקער HSTS preload.
  • Secrets אין JS bundles (Supabase service keys, AWS keys, Stripe sk_, אאַז״ו).
  • אויפֿגעדעקטע source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
  • אָפֿן Supabase RLS / Firebase rules / Clerk misconfiguration.
  • DNS (subdomain takeover, פֿעלנדיקע SPF/DKIM/DMARC).
  • Threat-intel ליסטינגס (Spamhaus, URLhaus).
  • אַלטע framework versions מיט באַקאַנטע CVEs.

אַקטיוו Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

פֿאַרוואָס מיר gateן עס: דער attestation flow

Active probes קענען טעאָרעטיש ווירקן אויף production — פּאַמעלעכע responses, error spikes, garbage data אין test stores. מיר דאַרפֿן אַז דו זאָלסט:

  1. באַשטעטיקן דעם domain דורך DNS TXT אָדער אַן HTTP file (Account → Domains).
  2. Attest authorization — איין confirmation בײַ scan-start time וואָס זאָגט אַז דו האָסט רשות. Server-stamped מיט דײַן IP, user-agent, און timestamp; געשריבן אין audit_logs.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub רעפּאָזיטאָריע Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans שרײַבן קיינמאָל נישט אין דײַן repo און persistן קיינמאָל נישט source code — נאָר finding evidence ווערט געהיט. Quota: דער זעלבער scansPerMonth bucket ווי URL scans.

Trigger דורך API

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

אַנאָנימע איין־מאָליקע scans

דער home page לאָזט ניט־אײַנגעשריבענע באַזוכער לויפֿן איין passive scan פּער browser session. די scans expireן 24 שעה נאָך creation און קענען ווערן migrated צו אַן אמתן account דורך זיך אײַנשרײַבן איידער זיי expireן — דער auth callback הענגט אויטאָמאַטיש דעם anonymous scan צו דער נײַער org.

Scan טיפּן — Docs · FixVibe