Seguridad de aulavirtual.uleam.edu.ec

[ALTA] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de ataques XSS y la inyección de scripts maliciosos.

[ALTA] Cookie SERVERID (HttpOnly): La falta de este flag permite que la cookie sea accesible mediante JavaScript, facilitando el robo de identidad.

[ALTA] Cookie SERVERID (Secure): El flag Secure no está presente, lo que implica que la cookie de sesión puede ser enviada a través de conexiones no cifradas.

[MEDIA] X-Content-Type-Options: Al no estar configurada, el navegador puede intentar interpretar el contenido de forma distinta a la declarada, permitiendo ataques de sniffing.

[MEDIA] Referrer-Policy: La falta de esta cabecera no permite controlar cuánta información de navegación se comparte con otros sitios web.

[MEDIA] Permissions-Policy: No se restringe el acceso a APIs del navegador, dejando expuestas funciones como la cámara o el micrófono.

[MEDIA] Cookie SERVERID (SameSite): La ausencia de este atributo hace que el sitio sea susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIA] HSTS max-age: La duración de la política HSTS es de solo 37 días, cuando el estándar de seguridad recomendado es de al menos 180 días.

[MEDIA] Contenido Mixto: Se detectaron 2 recursos cargados mediante HTTP dentro de la sesión protegida, comprometiendo la integridad del túnel cifrado.

[BAJA] Server header expuesto: El servidor revela el uso de Apache, lo cual facilita a un atacante la búsqueda de vulnerabilidades específicas para esa tecnología.

[BAJA] Robots.txt y Sitemap: La inexistencia de estos archivos dificulta la auditoría de indexación y el control de acceso para rastreadores web.