Seguridad de buoh.ai

[CRITICAL] Puerto 3306 (MySQL): El servicio de base de datos está expuesto públicamente, lo que permite ataques directos de fuerza bruta o explotación de vulnerabilidades.

[HIGH] Puerto 21 (FTP): El servicio de transferencia de archivos está abierto y no utiliza cifrado, permitiendo la interceptación de credenciales.

[HIGH] X-Frame-Options: Esta cabecera de seguridad no está configurada, facilitando ataques de Clickjacking para engañar a los usuarios.

[HIGH] Strict-Transport-Security: La falta de HSTS impide que el navegador fuerce conexiones seguras, permitiendo ataques de degradación de protocolo.

[MEDIUM] X-Content-Type-Options: La ausencia de esta cabecera permite el olfateo de tipos MIME, lo que puede derivar en la ejecución de scripts maliciosos.

[MEDIUM] Referrer-Policy: No se controla la información de navegación enviada a otros dominios al hacer clic en enlaces externos.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs sensibles del navegador como la cámara o el micrófono.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son accesibles y pueden revelar detalles técnicos del sistema.

[MEDIUM] Paneles de login accesibles: Se detectaron rutas como /wp-login.php y /administrator/ abiertas, facilitando intentos de acceso no autorizado.

[LOW] Server header expuesto: El servidor revela el uso de tecnología LiteSpeed, ayudando a atacantes a buscar vulnerabilidades específicas.

[LOW] Ruta sensible en robots.txt: Se hace referencia a directorios administrativos, exponiendo rutas de interés para agentes malintencionados.