Seguridad de exed.uth.hn

[HIGH] Content-Security-Policy: Falta esta cabecera esencial que previene ataques de XSS e inyección de contenido malicioso.

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea embebido en marcos externos, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security (HSTS): No está configurado, lo que impide que el navegador fuerce conexiones HTTPS de manera permanente y segura.

[MEDIUM] X-Content-Type-Options: Falta la cabecera, lo que permite que el navegador realice sniffing de tipos MIME y ejecute archivos con formatos incorrectos.

[MEDIUM] Referrer-Policy: No existe una política definida, lo que podría exponer información sensible en las URL al navegar hacia sitios externos.

[MEDIUM] Permissions-Policy: La falta de esta cabecera impide restringir el acceso de las APIs del navegador a componentes como cámara o micrófono.

[MEDIUM] Cookie ch_sid: Carece del atributo SameSite, lo que aumenta la susceptibilidad ante ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Cookie GotoCourse: Carece del atributo SameSite, exponiendo la sesión del usuario a posibles riesgos de seguridad web comunes.

[MEDIUM] Puerto 22 (SSH) abierto: La detección de un puerto de administración expuesto facilita intentos de acceso no autorizado mediante fuerza bruta.

[LOW] Server header expuesto: Se revela la versión exacta del servidor (Apache/2.4.41 en Ubuntu), facilitando la búsqueda de exploits específicos.

[LOW] X-Powered-By expuesto: El valor Lab I+D+i 1 revela información interna sobre el entorno de desarrollo del sitio.

[LOW] Sitemap y Robots.txt: La ausencia de estos archivos genera un fallo en la estructura de indexación y visibilidad controlada del sitio.