FixWeb

// docs / domains

도메인

A domain is a verified hostname you own. Verifying once unlocks owner-depth scans, scheduled re-scans, and live website monitoring on that hostname.

도메인 확인

대시보드 → 도메인에서 hostname을 추가하세요. 두 가지 확인 방법 중 하나를 선택합니다.

  • DNS TXT — 생성된 token을 값으로 하여 _fixweb.<hostname>에 record를 추가하세요. SPF / DMARC 설정이 방해하지 않도록 사용자의 서버가 아니라 FixWeb 서버에서 다시 resolve합니다. 일반적인 전파 시간은 1-5분이며, 10분 동안 30초마다 다시 확인합니다.
  • HTTP file — token이 들어 있는 작은 text file을 /.well-known/fixweb-verification.txt에 호스팅하세요. SSRF guard가 적용된 request path를 통해 HTTPS로 가져옵니다.

확인은 domain-reverify cron으로 매일 다시 검사됩니다. 이전에 확인된 도메인이 token resolve를 멈추면(예: DNS record를 제거한 경우), 확인이 취소되고 해당 도메인의 액티브 스캔은 다시 추가할 때까지 verify_required로 돌아갑니다.

예약 재스캔 Pro+

Pro 플랜은 검증된 도메인을 ≥3h 주기로 재스캔할 수 있고, Unlimited 플랜은 ≥1h 주기를 지원합니다. 대시보드 → 도메인 → 스케줄 을 열고 토글을 활성화한 뒤 주기를 선택하세요:

  • 1시간 — Unlimited 플랜에서만 사용 가능
  • 3h, 6h, 12h, daily, every 2 days, weekly

각 cron tick(15분마다)마다 scheduler는 due schedule을 가져와 next_run_at에 optimistic compare-and-swap으로 claim합니다(두 cron이 중복 enqueue하지 못하게 함). 그런 다음 scan usage counter를 증가시키고 새 패시브 스캔을 enqueue합니다. 스캔은 도메인 확인 attestation을 상속하므로 매번 다시 attest하지 않아도 됩니다. 취소하려면 schedule을 끄세요.

완료되면 scheduled_scan_email preference를 사용해 scan-completed email이 발송됩니다(계정 → 설정에서 관리).

실시간 위협 감지 Unlimited+

Unlimited 플랜은 예약된 스캔 사이에 검증된 모든 도메인의 세 가지 신호를 자동으로 감시합니다:

  • Certificate transparency — 30분마다 crt.sh를 조회해 hostname 또는 subdomain이 포함된 새 certificate를 찾습니다. 새 certificate는 new_certificate alert를 발생시킵니다.
  • DNS diff — 30분마다 A, AAAA, MX, TXT, NS, CNAME을 resolve하고 마지막 snapshot과 비교합니다. 변경 사항은 dns_change alert를 발생시킵니다.
  • Threat-intel — 1시간마다 apex hostname이 Spamhaus DBL과 URLhaus에 listing되었는지 확인합니다. Listing은 threat_intel_listing alert를 발생시킵니다.

Alert는 content-hash signature로 dedupe되어 같은 변경을 다시 감지해도 재발송되지 않습니다. 대시보드 → 도메인 → [domain] → Monitor에서 alert를 보거나 dismiss하세요. 이메일 알림은 threat_alert_email pref를 따릅니다.

Snapshot 보존

Monitor snapshot은 7일 뒤 자동 prune됩니다. 단, (domain, signal-type) pair별 최신 baseline은 다음 diff가 정확하도록 나이와 관계없이 유지됩니다. Dismissed alert는 90일 뒤 삭제됩니다.

API 또는 MCP에서 트리거

도메인 관리는 현재 UI 전용입니다. 확인 또는 schedule 변경을 위한 API surface는 없습니다. 이미 확인된 도메인에 대해 API로 스캔을 시작하려면 POST /api/v1/scans를 사용하세요.

curl
curl -X POST https://fixweb.app/api/v1/scans \
  -H "Authorization: Bearer fxw_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://example.com"}'
도메인 — Docs · FixWeb