Seguridad de club.matahevo.com

[HIGH] Ausencia de Content-Security-Policy: Facilita la ejecución de scripts maliciosos y ataques de inyección de contenido (XSS).

[HIGH] Falta de X-Frame-Options: Permite que el sitio sea embebido en marcos externos, facilitando ataques de clickjacking para engañar usuarios.

[HIGH] Sin Strict-Transport-Security (HSTS): El servidor no obliga al navegador a usar siempre conexiones seguras, exponiendo el tráfico a interceptaciones.

[HIGH] Fallo en redirección HTTP a HTTPS: Las conexiones no seguras no se elevan automáticamente a protocolos cifrados de forma efectiva.

[MEDIUM] X-Content-Type-Options ausente: Permite que el navegador intente interpretar archivos con formatos incorrectos, aumentando el riesgo de ejecución de malware.

[MEDIUM] Referrer-Policy no configurado: No se controla la información de navegación que se envía a terceros al hacer clic en enlaces externos.

[MEDIUM] Permissions-Policy faltante: El sitio no restringe el uso de funciones sensibles del navegador como la cámara, el micrófono o la ubicación.

[MEDIUM] Archivos informativos accesibles: La presencia pública de /readme.html y /README.txt puede revelar detalles de la infraestructura a atacantes.

[MEDIUM] Bloqueo total en Robots.txt: La directiva Disallow: / impide el rastreo legítimo de buscadores y puede ocultar una estructura de directorios deficiente.

[MEDIUM] Puerto 8080 abierto: La exposición del puerto HTTP-Alt sugiere servicios adicionales que podrían no estar debidamente protegidos.

[LOW] Server header expuesto: Revela el uso de Cloudflare, proporcionando información útil para la fase de reconocimiento de un atacante.

[LOW] X-Powered-By expuesto: Indica el uso del framework Next.js, lo que permite dirigir ataques específicos contra esta tecnología.