Seguridad de cndh.org.mx

[HIGH] Content-Security-Policy faltante: La ausencia de esta cabecera permite la ejecución de scripts no autorizados y ataques de inyección de contenido.

[HIGH] Strict-Transport-Security (HSTS) no configurado: El servidor no obliga al navegador a usar conexiones seguras, permitiendo ataques de degradación de SSL.

[HIGH] Cookie insegura (cookiesession1): La cookie carece del flag Secure, lo que permite que sea transmitida a través de conexiones HTTP no cifradas.

[MEDIUM] Cookie sin atributo SameSite: La cookie cookiesession1 es vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido mixto detectado: Se identificaron recursos cargados mediante HTTP (biblioteca y contrataciones) dentro de una página HTTPS, comprometiendo la integridad del sitio.

[MEDIUM] Archivos informativos expuestos: El acceso público a /readme.html y /README.txt facilita la obtención de metadatos técnicos sobre el CMS Drupal.

[MEDIUM] Paneles de gestión accesibles: Rutas críticas como /user/login y otros endpoints de administración están expuestos a intentos de acceso no autorizado.

[MEDIUM] Referrer-Policy y Permissions-Policy faltantes: No existe control sobre la información de navegación compartida ni sobre el uso de APIs del navegador.

[LOW] Cabeceras de tecnología expuestas: El servidor revela el uso de Microsoft-IIS/10.0 y ASP.NET, lo cual asiste a atacantes en la fase de reconocimiento.

[LOW] Ausencia de robots.txt y sitemap.xml: El sitio carece de archivos de control para rastreadores, afectando la visibilidad y el orden de indexación.