Seguridad de azpul.az

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera permite la ejecucion de scripts no autorizados, facilitando ataques de Cross-Site Scripting (XSS) e inyeccion de datos.

[HIGH] Falta de X-Frame-Options: Al no estar definida, el sitio puede ser cargado dentro de marcos (iframes) de dominios maliciosos, permitiendo ataques de clickjacking.

[HIGH] Falta de Strict-Transport-Security (HSTS): El sistema no instruye al navegador para utilizar exclusivamente conexiones HTTPS, lo que permite ataques de degradacion de protocolo (SSL Stripping).

[MEDIUM] Falta de X-Content-Type-Options: El navegador podria intentar interpretar archivos como un tipo MIME distinto al declarado, facilitando la ejecucion de codigo malicioso mediante sniffing.

[MEDIUM] Falta de Referrer-Policy: No existe control sobre la informacion de procedencia enviada en las peticiones, lo que puede derivar en la fuga de informacion sensible a terceros.

[MEDIUM] Falta de Permissions-Policy: No se restringen las capacidades del navegador para acceder a APIs sensibles como la camara, microfono o geolocalizacion.

[MEDIUM] Archivos /readme.html y /README.txt expuestos: La accesibilidad publica de estos archivos revela detalles tecnicos sobre la estructura interna y posibles versiones del sistema.

[LOW] Exposicion de cabecera Server: El servidor revela explicitamente el uso de nginx/1.18.0 (Ubuntu), informacion que reduce el esfuerzo de reconocimiento para un atacante.

[LOW] Exposicion de cabecera X-Powered-By: Se identifica el uso del framework Next.js, lo que permite enfocar vectores de ataque especificos contra dicha tecnologia.

[LOW] Ausencia de Robots.txt y Sitemap.xml: La falta de estos archivos impide una gestion adecuada del rastreo y puede exponer rutas que no deberian ser indexadas.