Seguridad de bravoterra.ec

[HIGH] Strict-Transport-Security (HSTS): No se detectó la cabecera HSTS, lo que permite que un atacante intente degradar la conexión de HTTPS a HTTP para interceptar datos.

[HIGH] Cookie frontend_lang (HttpOnly): La cookie carece de este flag, lo que la hace accesible mediante scripts del lado del cliente y vulnerable a ataques de robo de sesión vía XSS.

[HIGH] Cookie frontend_lang (Secure): El flag Secure no está presente, permitiendo que la cookie se transmita por canales no cifrados si el usuario accede por error vía HTTP.

[HIGH] Cookie session_id (Secure): La cookie de sesión carece del atributo de seguridad, exponiendo el identificador de sesión a posibles capturas en el tráfico de red.

[MEDIUM] Cookie frontend_lang (SameSite): La ausencia de este atributo hace que la cookie sea susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Cookie session_id (SameSite): La falta de configuración SameSite permite que la sesión sea utilizada en contextos de navegación de terceros, aumentando el riesgo de CSRF.

[MEDIUM] Referrer-Policy: No se ha configurado una política para el referente, lo que podría exponer rutas internas o información sensible al navegar hacia enlaces externos.

[MEDIUM] Permissions-Policy: La falta de esta cabecera permite que el navegador acceda a funciones de hardware o APIs de forma predeterminada sin restricciones explícitas.

[LOW] Server header expuesto: El servidor responde con la versión exacta (nginx/1.18.0 Ubuntu), facilitando a los atacantes la búsqueda de exploits específicos para ese software.

[LOW] Ausencia de robots.txt: No se encontró el archivo de control de indexación, lo cual afecta el manejo de la visibilidad en motores de búsqueda.

[LOW] Ausencia de sitemap.xml: El sitio carece de un mapa de estructura, dificultando la auditoría de activos expuestos y el rastreo legítimo.