Seguridad de aemifesa.online

[HIGH] Puerto 21 (FTP): El puerto está abierto, permitiendo la transferencia de archivos mediante un protocolo no cifrado propenso a la captura de credenciales.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Strict-Transport-Security: No se fuerza el uso de HTTPS mediante HSTS, permitiendo posibles degradaciones de conexión.

[HIGH] Cookie MoodleSession (HttpOnly): La falta de este atributo permite que la cookie de sesión sea accesible mediante scripts, aumentando el riesgo de robo de identidad.

[MEDIUM] Cookie MoodleSession (SameSite): La carencia de esta directiva hace que la sesión sea vulnerable a ataques de Cross-Site Request Forgery (CSRF).

[MEDIUM] Contenido Mixto: Se detectaron 2 recursos cargados mediante HTTP en una página protegida por SSL, lo que debilita la integridad de la conexión.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que podría llevar a la ejecución de archivos no confiables.

[MEDIUM] Referrer-Policy: No existe control sobre la información de navegación que se envía a sitios externos mediante el campo referer.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso del navegador a funciones sensibles como la cámara o el micrófono.

[MEDIUM] Archivo /README.txt: Este archivo es accesible públicamente y puede revelar detalles técnicos internos del sistema de gestión.

[LOW] Server header expuesto: El encabezado revela el uso de nginx, facilitando el reconocimiento de objetivos para atacantes.

[LOW] X-Powered-By expuesto: Se detectó el uso de PleskLin, exponiendo información sobre el framework o panel de control utilizado.

[LOW] robots.txt y sitemap.xml: La ausencia de estos archivos dificulta la auditoría de rutas y la correcta indexación de seguridad por buscadores.