Seguridad de aulavirtual.anla.gov.co

[LOW] Server header expuesto: Se detectó el uso de nginx/1.24.0 (Ubuntu), lo cual facilita a atacantes la búsqueda de exploits específicos para esa versión.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Strict-Transport-Security: No se fuerza el uso de conexiones HTTPS, dejando a los usuarios vulnerables a ataques de degradación de SSL.

[MEDIUM] X-Content-Type-Options: La falta de esta política permite que el navegador realice "MIME-sniffing", pudiendo ejecutar archivos maliciosos disfrazados.

[MEDIUM] Referrer-Policy: No se controla la información de navegación enviada a otros dominios, lo que puede filtrar URLs internas sensibles.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs del navegador como la cámara o el micrófono a través de políticas de seguridad.

[MEDIUM] Archivo /README.txt: Este archivo es accesible públicamente y puede revelar detalles técnicos sobre la estructura y versión del sistema de gestión de contenidos.

[MEDIUM] Ruta /administrator/: El panel de inicio de sesión administrativo está expuesto a Internet, aumentando el riesgo de ataques de fuerza bruta.

[MEDIUM] Ruta /user/login: El punto de acceso para usuarios está visible para cualquier atacante, facilitando intentos de acceso no autorizados.

[MEDIUM] Cookie MoodleSession: La falta del atributo SameSite hace que el identificador de sesión sea susceptible a ataques de Cross-Site Request Forgery (CSRF).

[HIGH] Cookie cookiesession1: No implementa el flag Secure, permitiendo que la cookie de sesión se transmita de forma insegura a través de conexiones HTTP.

[MEDIUM] Contenido Mixto: Se detectaron recursos HTTP que intentan cargar dentro de la página HTTPS, incluyendo enlaces que apuntan erróneamente a localhost.

[FAIL] Robots.txt y Sitemap: La ausencia de estos archivos sugiere una falta de configuración básica de seguridad y control de indexación.