Seguridad de demo.testfire.net
Ultimo escaneo: 18 de marzo de 2026
Checks Pasivos
Este informe tiene marca de agua. Actualiza a Pro para informes limpios.
Ver Planes desde 29€/mesResumen de seguridad de demo.testfire.net
El análisis de seguridad técnica ha resultado en una puntuación de 54/100, lo que equivale a una nota D. Los checks pasivos identificaron deficiencias críticas en la implementación de cabeceras de seguridad y en la redirección forzosa de protocolos. Durante el pentest activo, el PentestAgent utilizó herramientas como Nmap, WhatWeb y ffuf para descubrir rutas sensibles como /admin y /bank, además de detectar vulnerabilidades de inyección y control de acceso. Los hallazgos confirman la presencia de fallos de severidad alta, incluyendo XSS reflejado y una vulnerabilidad IDOR en el módulo bancario. Debido a estos factores, se concluye que el sitio es vulnerable y presenta un riesgo significativo para la confidencialidad de los usuarios.
Vulnerabilidades detectadas en demo.testfire.net
[HIGH] CWE-79: Reflected Cross-Site Scripting (XSS) en el parámetro query de /search.jsp que permite la ejecución de scripts maliciosos.
[HIGH] CWE-639: Insecure Direct Object Reference (IDOR) en /bank/showAccount que permite visualizar transacciones de terceros modificando el ID de cuenta.
[HIGH] Content-Security-Policy: Ausencia total de la cabecera, facilitando ataques de inyección de contenido y XSS.
[HIGH] X-Frame-Options: Cabecera faltante que permite ataques de clickjacking mediante el uso de iframes.
[HIGH] Strict-Transport-Security: HSTS no configurado, lo que impide obligar al navegador a usar siempre conexiones cifradas.
[HIGH] Redirección HTTPS: El servidor no redirige el tráfico HTTP al puerto seguro HTTPS (puerto 80 devuelve 200 OK).
[MEDIUM] Cookie JSESSIONID: Falta el atributo SameSite, dejando la sesión vulnerable a ataques de Cross-Site Request Forgery (CSRF).
[MEDIUM] X-Content-Type-Options: Ausencia de la cabecera, permitiendo al navegador interpretar archivos con tipos MIME incorrectos.
[MEDIUM] Puerto 8080 (HTTP-Alt): Servicio abierto que expone un servidor web alternativo propenso a configuraciones menos estrictas.
[MEDIUM] Ruta sensible /admin: El endpoint es accesible vía GET, lo que puede derivar en filtración de información administrativa.
[MEDIUM] Referrer-Policy: No configurada, lo que puede exponer información de navegación en las cabeceras de los referidos.
[MEDIUM] Permissions-Policy: Falta de restricciones sobre APIs del navegador como cámara, micrófono o geolocalización.
[LOW] Server header expuesto: Se revela la tecnología Apache-Coyote/1.1, facilitando la búsqueda de exploits específicos.
[LOW] Archivos de indexación: No se encontraron los archivos robots.txt ni sitemap.xml, dificultando el control de rastreo.
¿Que significa una nota D en seguridad web?
Una nota D indica que demo.testfire.net tiene un nivel de seguridad bajo. Se han detectado multiples problemas de seguridad que podrian ser explotados por atacantes. Es urgente aplicar las recomendaciones de este informe para proteger el sitio y a sus usuarios.
Guias relacionadas para mejorar la seguridad
Basado en los resultados del escaneo de demo.testfire.net, estas guias te ayudaran a corregir los problemas detectados:
¿Eres el propietario de demo.testfire.net?
Verifica tu dominio para acceder al informe completo de seguridad, incluyendo el analisis de PentestAgent.
Verificar dominioSi eres el propietario de demo.testfire.net y deseas eliminar esta pagina, contactanos.