Seguridad de copikon.com

[HIGH] Content-Security-Policy: Falta esta cabecera, lo que deja el sitio expuesto a ataques de Cross-Site Scripting (XSS) e inyección de contenido.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es vulnerable a ataques de Clickjacking, permitiendo que atacantes carguen la web en frames externos maliciosos.

[HIGH] Strict-Transport-Security: La ausencia de HSTS impide que el navegador fuerce conexiones seguras, facilitando ataques de degradación de SSL.

[HIGH] Redirección HTTP a HTTPS: El sitio responde con un código 200 en HTTP en lugar de redirigir a HTTPS, permitiendo comunicaciones no cifradas.

[HIGH] Cookies sin flag Secure: Las cookies frontend_lang, visitor_uuid y session_id se envían en conexiones HTTP, permitiendo su interceptación en ataques Man-in-the-Middle.

[HIGH] Cookies sin flag HttpOnly: Las cookies frontend_lang y visitor_uuid son accesibles mediante scripts del lado del cliente, aumentando el riesgo de robo de identidad en ataques XSS.

[MEDIUM] Cookies sin flag SameSite: Las cookies de sesión no controlan el envío en peticiones de terceros, lo que facilita ataques de Cross-Site Request Forgery (CSRF).

[MEDIUM] Contenido Mixto: Se detectaron dos recursos cargados mediante HTTP dentro de la página HTTPS, lo que debilita la seguridad general del cifrado.

[MEDIUM] Puerto 22 (SSH) abierto: El puerto de acceso remoto está expuesto públicamente, lo que representa un vector de ataque si no está correctamente securizado.

[MEDIUM] Referrer-Policy: Falta la cabecera que controla cuánta información de referencia se envía al navegar desde el sitio.

[MEDIUM] Permissions-Policy: No se han definido restricciones para el uso de APIs del navegador como la cámara o el micrófono.

[LOW] Server header expuesto: El servidor revela el uso de Odoo.sh, proporcionando información útil para que un atacante busque vulnerabilidades específicas.

[LOW] Meta generator expuesto: La etiqueta meta confirma el uso de la tecnología Odoo, facilitando el reconocimiento del sistema.