Seguridad de atencionaclientes.finsus.mx

[ALTA] Content-Security-Policy: La falta de esta cabecera permite ataques de inyección de contenido y ejecución de scripts maliciosos (XSS).

[ALTA] X-Frame-Options: Al no estar configurada, el sitio es susceptible a ataques de clickjacking mediante el uso de marcos.

[ALTA] Strict-Transport-Security: La ausencia de HSTS impide que el navegador fuerce conexiones cifradas, facilitando ataques de degradación de protocolo.

[ALTA] Cookie Secure Flag (csrf_cookie_name): La falta de este atributo permite que la cookie de seguridad se envíe por canales no cifrados.

[ALTA] Cookie Secure Flag (sp_session): Al carecer del flag Secure, la cookie de sesión puede ser interceptada en conexiones HTTP estándar.

[MEDIA] X-Content-Type-Options: La falta de esta protección permite el sniffing de tipos MIME, lo que facilita la ejecución de archivos maliciosos.

[MEDIA] Referrer-Policy: No existe una política definida, lo que provoca que se filtre información sensible de navegación a sitios externos.

[MEDIA] Permissions-Policy: No se restringe el acceso de las APIs del navegador, dejando expuestas funciones como la cámara o el micrófono.

[BAJA] Server header expuesto: El servidor revela que utiliza Apache, lo que ayuda a posibles atacantes a identificar exploits específicos para esa tecnología.

[BAJA] Archivos robots.txt y sitemap.xml faltantes: La ausencia de estos archivos indica una configuración web incompleta y dificulta la auditoría de rutas.