// docs / scans
掃描類型
FixVibe 會針對三種目標執行三種掃描。每種掃描的門檻、速度與影響範圍都不同,請選擇符合你測試情境的那一種。
被動
每個級別均可用。被動掃描從不發送精心設計的攻擊輸入;它像普通瀏覽器一樣獲取URL,並檢查發送的回應、客戶資產、BaaS 暴露、DNS 以及針對260+ passive checks 的公共安全態勢。
因為它是唯讀,被動掃描可以針對任何 URL 執行,不需要網域驗證,也不需要授權聲明。取捨是深度:凡是需要送出輸入才能發現的問題,被動掃描都會漏掉。
被動掃描能抓到什麼
- 缺少安全性 headers(HSTS、CSP、frame-options 等)。
- 不安全的 cookie 屬性(缺少 Secure / HttpOnly / SameSite)。
- 弱 TLS 設定、過期憑證、缺少 HSTS preload。
- JS bundles 中的 secrets(Supabase service keys、AWS keys、Stripe sk_ 等)。
- 暴露的 source maps、debug endpoints、OpenAPI specs、GraphQL introspection。
- 開放的 Supabase RLS / Firebase rules / Clerk 設定錯誤。
- DNS(subdomain takeover、缺少 SPF/DKIM/DMARC)。
- 威脅情報清單(Spamhaus、URLhaus)。
- 具有已知 CVE 的過期框架版本。
主動 Hobby+
主動掃描針對您明確授權的已驗證網域執行有界驗證。它們可在 Hobby 計劃和更高級別(Pro、Unlimited)中使用,旨在確認風險行為,而無需發布底層探測方案。
為什麼要設門檻:授權聲明流程
主動探測理論上可能影響 production:回應變慢、錯誤暴增、測試儲存區出現垃圾資料。因此我們要求你:
- 驗證網域:透過 DNS TXT 或 HTTP file(Account → Domains)。
- 聲明授權:在掃描開始時進行一次確認,表示你有權限執行。伺服器會記錄你的 IP、user-agent 和時間戳,並寫入
audit_logs。
對於計劃的重新掃描和API/MCP 活動啟動,網域授權將從Dashboard → Domains 記錄下來,並且可以隨時撤銷。自動主動掃描使用該網域的授權安全性等級。
GitHub 儲存庫 Pro+
儲存庫掃描會跳過已部署的 URL 測試並透過 FixVibe GitHub App 或 OAuth 連線檢查來源。他們報告高可信度程式碼、依賴性和儲存庫安全風險,而無需儲存您的原始程式碼。
Repo 掃描絕不寫入你的 repo,也不會保存原始碼,只會儲存發現項目的證據。配額:與 URL 掃描共用同一個 scansPerMonth bucket。
透過 API 觸發
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API 和MCP 可啟動被動掃描,並且可以對Dashboard → Domains 中明確授權的已驗證網域啟動主動掃描。完整參考:/docs/api。
匿名一次性掃描
首頁允許未註冊訪客在每個瀏覽器 session 執行一次被動掃描。這些掃描會在建立後 24 小時過期;如果在過期前註冊,就能移轉到正式帳號,auth callback 會自動把匿名掃描掛到新的 org。
