Seguridad de expedientes.igssgt.org

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados y ataques de inyección de contenido (XSS).

[HIGH] X-Frame-Options: Al no estar presente, el sitio es vulnerable a ataques de clickjacking, donde un atacante puede camuflar la interfaz bajo un marco invisible.

[HIGH] Strict-Transport-Security: No se fuerza el uso de HTTPS mediante HSTS, lo que permite ataques de degradación de protocolo y robo de cookies de sesión.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite al navegador interpretar archivos con tipos MIME incorrectos, facilitando la ejecución de malware.

[MEDIUM] Referrer-Policy: No existe control sobre la información de navegación que se envía a sitios externos cuando un usuario hace clic en un enlace.

[MEDIUM] Permissions-Policy: El sitio no restringe el uso de funciones sensibles del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Archivos técnicos expuestos: Los archivos /readme.html y /README.txt son accesibles, lo que facilita el reconocimiento de la infraestructura por parte de atacantes.

[MEDIUM] Paneles de acceso expuestos: Las rutas /wp-login.php, /administrator/ y /user/login están abiertas al público, facilitando ataques de fuerza bruta.

[LOW] Exposición de cabecera Server: El servidor responde con "nginx/1.27.1", revelando la tecnología y versión exacta, lo que ayuda a buscar exploits específicos.

[LOW] Ausencia de archivos de control: No se detectaron los archivos robots.txt ni sitemap.xml, necesarios para una indexación controlada y profesional.