Seguridad de api.smartla.net

[HIGH] Content-Security-Policy: Falta. Su ausencia permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso al no restringir el origen de los recursos.

[HIGH] X-Frame-Options: Falta. El sitio es vulnerable a ataques de clickjacking, permitiendo que atacantes embeban la página en marcos invisibles para engañar al usuario.

[HIGH] Strict-Transport-Security: Falta. La carencia de HSTS impide que el navegador fuerce conexiones seguras, facilitando ataques de degradación de SSL.

[HIGH] Redirección HTTP a HTTPS: Fallida. El servidor responde con error 403 y no redirige automáticamente el tráfico inseguro hacia el protocolo cifrado.

[MEDIUM] X-Content-Type-Options: Falta. Permite que el navegador realice sniffing de tipos MIME, lo que puede llevar a la ejecución de archivos con contenido malicioso disfrazado.

[MEDIUM] Referrer-Policy: Falta. No se controla la información de navegación que se envía a terceros, lo que podría exponer datos sensibles en las URLs de origen.

[MEDIUM] Permissions-Policy: Falta. No se restringe el acceso de las APIs del navegador a funciones sensibles como la cámara o el micrófono, aumentando la superficie de ataque.

[MEDIUM] Contenido Mixto: Se detectaron 6 recursos cargados mediante HTTP inseguro dentro de la conexión HTTPS, comprometiendo la integridad global del sitio.

[LOW] Server header expuesto: La cabecera revela el uso de Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.4.33, información técnica precisa que facilita la búsqueda de exploits específicos.

[LOW] Robots.txt y Sitemap: Archivos no encontrados (Error 404). Esto dificulta la gestión del rastreo por parte de buscadores y la visibilidad de la estructura del sitio.