FixVibe

// docs / scans

掃描類型

FixVibe 會針對三種目標執行三種掃描。每種掃描的門檻、速度與影響範圍都不同,請選擇符合你測試情境的那一種。

被動

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

因為它是唯讀,被動掃描可以針對任何 URL 執行,不需要網域驗證,也不需要授權聲明。取捨是深度:凡是需要送出輸入才能發現的問題,被動掃描都會漏掉。

被動掃描能抓到什麼

  • 缺少安全性 headers(HSTS、CSP、frame-options 等)。
  • 不安全的 cookie 屬性(缺少 Secure / HttpOnly / SameSite)。
  • 弱 TLS 設定、過期憑證、缺少 HSTS preload。
  • JS bundles 中的 secrets(Supabase service keys、AWS keys、Stripe sk_ 等)。
  • 暴露的 source maps、debug endpoints、OpenAPI specs、GraphQL introspection。
  • 開放的 Supabase RLS / Firebase rules / Clerk 設定錯誤。
  • DNS(subdomain takeover、缺少 SPF/DKIM/DMARC)。
  • 威脅情報清單(Spamhaus、URLhaus)。
  • 具有已知 CVE 的過期框架版本。

主動 Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

為什麼要設門檻:授權聲明流程

主動探測理論上可能影響 production:回應變慢、錯誤暴增、測試儲存區出現垃圾資料。因此我們要求你:

  1. 驗證網域:透過 DNS TXT 或 HTTP file(Account → Domains)。
  2. 聲明授權:在掃描開始時進行一次確認,表示你有權限執行。伺服器會記錄你的 IP、user-agent 和時間戳,並寫入 audit_logs

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo 掃描絕不寫入你的 repo,也不會保存原始碼,只會儲存發現項目的證據。配額:與 URL 掃描共用同一個 scansPerMonth bucket。

透過 API 觸發

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

匿名一次性掃描

首頁允許未註冊訪客在每個瀏覽器 session 執行一次被動掃描。這些掃描會在建立後 24 小時過期;如果在過期前註冊,就能移轉到正式帳號,auth callback 會自動把匿名掃描掛到新的 org。

掃描類型 — Docs · FixVibe