Seguridad de empleo.va360labs.com

[CRITICAL] Puerto 5432 (PostgreSQL) ABIERTO: Expone directamente el servicio de base de datos a internet, permitiendo intentos de acceso no autorizado y ataques dirigidos.

[HIGH] Content-Security-Policy (CSP) Faltante: La ausencia de esta política permite la ejecución de scripts maliciosos y ataques de inyección de contenido como XSS.

[HIGH] X-Frame-Options Faltante: El sitio no previene ataques de clickjacking, lo que permite que la interfaz sea embebida en sitios maliciosos para engañar al usuario.

[HIGH] Strict-Transport-Security (HSTS) Faltante: No se obliga al navegador a establecer conexiones seguras permanentemente, facilitando ataques de degradación de protocolo.

[MEDIUM] Puerto 22 (SSH) ABIERTO: El servicio de administración remota es visible para cualquier atacante, aumentando la superficie de ataque del servidor.

[MEDIUM] X-Content-Type-Options Faltante: Permite que el navegador intente adivinar el tipo de contenido, lo que puede derivar en la ejecución de archivos maliciosos.

[MEDIUM] Referrer-Policy Faltante: No se controla la cantidad de información enviada en las cabeceras de referencia hacia otros dominios.

[MEDIUM] Permissions-Policy Faltante: No se restringen funcionalidades del navegador como el acceso a la cámara o geolocalización a través de APIs.

[LOW] X-Powered-By expuesto (Next.js): Revela el framework utilizado, facilitando que atacantes busquen vulnerabilidades específicas para esa tecnología.

[LOW] Ausencia de robots.txt y sitemap.xml: El servidor devuelve un error 404 para archivos esenciales de gestión de rastreo e indexación.