Seguridad de as.com

[HIGH] X-Frame-Options: La ausencia de esta cabecera permite ataques de clickjacking, donde un tercero puede cargar el sitio en un marco invisible para engañar al usuario.

[HIGH] Strict-Transport-Security (HSTS): No se fuerza el uso de HTTPS a nivel de navegador, permitiendo ataques de degradación de protocolo y robo de datos en tránsito.

[HIGH] Cookie arc-geo (HttpOnly/Secure): La falta de estas directivas permite que la cookie sea leída por scripts maliciosos y enviada por conexiones no cifradas.

[HIGH] Cookie astz (HttpOnly/Secure): Esta cookie de sesión es vulnerable a ataques de Cross-Site Scripting (XSS) y exposición en redes inseguras.

[HIGH] Cookie hpage (HttpOnly/Secure): La carencia de protección facilita el secuestro de sesión si un atacante logra ejecutar código en el navegador del cliente.

[HIGH] Cookie datadome (HttpOnly): Al ser accesible mediante JavaScript, esta cookie queda expuesta a posibles extracciones automáticas por malware.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que puede llevar al navegador a ejecutar archivos con contenido malicioso inesperado.

[MEDIUM] Referrer-Policy: No existe control sobre la información de origen que el sitio envía a dominios externos al hacer clic en enlaces.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a funciones sensibles del hardware del usuario, como la cámara o el micrófono, mediante políticas del navegador.

[MEDIUM] Cookies SameSite: Las cookies arc-geo, astz y hpage no tienen configurado el atributo SameSite, lo que las hace vulnerables a ataques de falsificación de peticiones en sitios cruzados (CSRF).

[MEDIUM] Robots.txt y Sitemap: El archivo robots.txt está configurado para bloquear todo el rastreo del sitio y no se ha localizado un archivo sitemap.xml válido.

[LOW] Server header expuesto: El servidor revela el uso de la tecnología openresty, proporcionando información útil para que un atacante busque vulnerabilidades específicas.