Seguridad de ceos.digital

[HIGH] Ausencia de redirección HTTP a HTTPS: El servidor permite conexiones no cifradas en el puerto 80 sin redirigir automáticamente al usuario a la versión segura.

[HIGH] Content-Security-Policy (CSP) faltante: No existe una política de seguridad de contenido, lo que facilita ataques de Cross-Site Scripting (XSS) e inyección de datos.

[HIGH] X-Frame-Options faltante: La ausencia de esta cabecera permite que el sitio sea cargado en iframes externos, exponiéndolo a ataques de clickjacking.

[HIGH] Strict-Transport-Security (HSTS) no configurado: El navegador no recibe la instrucción de conectar exclusivamente mediante HTTPS, permitiendo posibles degradaciones de conexión.

[MEDIUM] X-Content-Type-Options faltante: El servidor no previene el MIME-type sniffing, lo que podría permitir la ejecución de archivos maliciosos disfrazados de contenido legítimo.

[MEDIUM] Referrer-Policy faltante: No se controla la cantidad de información de referencia que el navegador envía al navegar desde este sitio hacia otros enlaces.

[MEDIUM] Permissions-Policy faltante: El sitio no restringe el uso de APIs sensibles del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Archivo /README.txt accesible: El acceso público a este archivo puede revelar información técnica interna o detalles sobre la estructura del sitio.

[LOW] Cabecera Server expuesta: Se detectó el valor Microsoft-IIS/10.0, lo cual revela la tecnología y versión exacta del servidor a posibles atacantes.

[LOW] Cabecera X-Powered-By expuesta: Se revela el uso de ASP.NET, proporcionando información valiosa para ataques dirigidos al framework.

[LOW] Ausencia de robots.txt y sitemap.xml: La falta de estos archivos dificulta la auditoría de indexación y no proporciona guías de rastreo a los motores de búsqueda.