Seguridad de cin.cat

[HIGH] Ausencia de Content-Security-Policy: Facilita ataques de XSS e inyeccion de contenido malicioso al no restringir las fuentes de scripts permitidas.

[HIGH] Ausencia de X-Frame-Options: Permite que el sitio sea cargado en marcos externos o iframes, aumentando el riesgo de ataques de clickjacking.

[HIGH] Falta de Strict-Transport-Security (HSTS): El navegador no fuerza la conexion cifrada, dejando a los usuarios vulnerables a ataques de degradacion de protocolo.

[HIGH] Fallo en Redireccion HTTP a HTTPS: La web responde por canales no cifrados bajo el protocolo HTTP, exponiendo datos sensibles durante el transito.

[HIGH] Cookies de sesion inseguras (PHPSESSID): Carece de los flags HttpOnly y Secure, permitiendo su robo mediante scripts maliciosos o intercepcion en redes.

[HIGH] Puerto 21 (FTP) Abierto: El uso de FTP implica la transferencia de credenciales y archivos en texto plano, lo cual es facilmente interceptable por terceros.

[MEDIUM] Contenido Mixto Masivo: Se detectaron 489 recursos cargados via HTTP dentro de una pagina HTTPS, comprometiendo la integridad y privacidad del cifrado SSL.

[MEDIUM] Ausencia de X-Content-Type-Options: Expone al sitio a ataques de sniffing de MIME-type donde el navegador podria interpretar archivos de forma incorrecta y peligrosa.

[MEDIUM] Falta de SameSite en Cookies: La ausencia de este atributo en la cookie de sesion incrementa la superficie de ataque para vulnerabilidades de Cross-Site Request Forgery (CSRF).

[MEDIUM] Puerto 22 (SSH) Abierto: Representa un vector de ataque para intentos de acceso remoto si no cuenta con una politica de endurecimiento estricta.

[LOW] Server Header Expuesto: La cabecera revela especificamente el uso de Apache, facilitando a posibles atacantes la busqueda de exploits conocidos para esa tecnologia.

[LOW] Faltan archivos robots.txt y sitemap.xml: Dificulta la indexacion correcta y el control sobre que areas del sitio deben ser rastreadas por los motores de busqueda.