Seguridad de ctrento.net

[HIGH] Falta de redirección HTTP a HTTPS: El servidor responde a peticiones no cifradas sin redirigirlas, permitiendo el acceso por canales inseguros.

[HIGH] Ausencia de Strict-Transport-Security: Sin la cabecera HSTS, el navegador no está obligado a mantener una conexión segura, facilitando ataques de interceptación.

[HIGH] Ausencia de Content-Security-Policy: No existe control sobre los recursos que el navegador puede cargar, lo que permite ataques de Cross-Site Scripting (XSS).

[HIGH] Ausencia de X-Frame-Options: El sitio es susceptible de ser embebido en marcos externos, facilitando ataques de Clickjacking para engañar al usuario.

[MEDIUM] Ausencia de X-Content-Type-Options: El navegador podría intentar interpretar archivos con tipos MIME incorrectos, derivando en la ejecución de scripts maliciosos.

[MEDIUM] Ausencia de Referrer-Policy: No se controla la información de navegación que se envía a terceros al seguir enlaces externos.

[MEDIUM] Ausencia de Permissions-Policy: No se restringe el acceso del navegador a funciones sensibles como la cámara, el micrófono o la geolocalización.

[LOW] Exposición de cabecera Server: El servidor revela el uso de Microsoft-IIS/10.0, lo cual facilita la búsqueda de exploits específicos para esa versión.

[LOW] Exposición de cabecera X-Powered-By: Se expone el uso del framework ASP.NET, proporcionando información técnica valiosa para un atacante.

[LOW] Ausencia de archivos de control: No se encontraron los archivos robots.txt ni sitemap.xml, lo que afecta la visibilidad y el control del rastreo web.