Seguridad de campus.fcytcdelu.uader.edu.ar

[ALTA] Falta de Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) y la inyección de contenido malicioso en el navegador del usuario.

[ALTA] Cookies de sesión inseguras: La cookie MoodleSession carece de los atributos HttpOnly y Secure, lo que permite que sea robada mediante scripts o interceptada en conexiones no cifradas.

[MEDIA] Falta de cabecera X-Content-Type-Options: Al no estar presente, el navegador podría intentar interpretar archivos como un tipo MIME diferente, facilitando la ejecución de código no autorizado.

[MEDIA] Vulnerabilidad a CSRF en cookies: La cookie de sesión no implementa el atributo SameSite, dejando a los usuarios expuestos a ataques de falsificación de peticiones en sitios cruzados.

[MEDIA] Archivo README.txt expuesto: Este archivo es accesible de forma pública y puede contener detalles sobre la tecnología instalada y versiones de software que facilitan ataques dirigidos.

[MEDIA] Contenido Mixto: Se detectó la carga de un recurso mediante el protocolo inseguro HTTP dentro de una página protegida por HTTPS, lo que debilita la integridad de la sesión.

[MEDIA] Ausencia de Referrer-Policy y Permissions-Policy: No se controla qué información de procedencia se envía a otros sitios ni se restringen funciones sensibles del navegador como la cámara o el micrófono.

[BAJA] Exposición de cabeceras de servidor: El sistema revela el uso de nginx y la versión específica de PHP (7.2.34), proporcionando datos valiosos para que un atacante busque vulnerabilidades conocidas.

[BAJA] Ausencia de archivos de control de rastreo: No se encontraron los archivos robots.txt ni sitemap.xml, lo que afecta la visibilidad controlada y la auditoría de rutas del sitio.