Seguridad de campus.uveg.edu.mx

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados, facilitando ataques de XSS e inyección de contenido.

[HIGH] X-Frame-Options: Al no estar configurada, el sitio es susceptible a ataques de clickjacking, permitiendo que un atacante cargue la web en marcos invisibles para engañar al usuario.

[HIGH] Strict-Transport-Security: La falta de HSTS impide que el navegador fuerce conexiones seguras, dejando la puerta abierta a ataques de degradación de protocolo (SSL Stripping).

[HIGH] Cookie PHPSESSID (Falta HttpOnly): Esta cookie de sesión es accesible mediante JavaScript, lo que permite a un atacante robar el identificador de sesión en caso de un XSS exitoso.

[HIGH] Cookie PHPSESSID (Falta Secure): El atributo Secure no está presente, lo que significa que la información de sesión podría transmitirse a través de conexiones HTTP no cifradas.

[MEDIUM] Cookie PHPSESSID (Falta SameSite): La carencia de esta directiva incrementa el riesgo de ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Referrer-Policy: No existe una política definida para controlar la información de procedencia enviada a sitios de terceros, comprometiendo la privacidad de los flujos de navegación.

[MEDIUM] Permissions-Policy: No se han restringido las APIs del navegador, permitiendo potencialmente que funciones como la cámara o el micrófono sean accedidas si existen otras vulnerabilidades.

[LOW] Server header expuesto: El servidor revela el uso de Apache en su cabecera de respuesta, proporcionando información técnica valiosa para que un atacante busque exploits específicos.

[LOW] sitemap.xml no encontrado: La falta de este archivo dificulta la auditoría estructurada y la indexación correcta de los recursos disponibles en el servidor.