Seguridad de guerrastribales.es

[LOW] Server header expuesto: El servidor revela el uso de nginx, lo que proporciona información técnica útil para atacantes que busquen vulnerabilidades específicas de esa tecnología.

[HIGH] Content-Security-Policy (CSP) ausente: La falta de esta cabecera impide prevenir ataques de Cross-Site Scripting (XSS) y otras inyecciones de contenido malicioso.

[HIGH] Strict-Transport-Security (HSTS) ausente: El servidor no obliga al navegador a utilizar conexiones cifradas, permitiendo posibles ataques de degradación de SSL.

[MEDIUM] X-Content-Type-Options ausente: Al no estar configurada, el sitio es vulnerable a ataques de MIME-type sniffing para ejecutar archivos con contenido malicioso.

[MEDIUM] Referrer-Policy ausente: El sitio no controla qué información de navegación se envía a otros dominios, lo que puede comprometer la privacidad del usuario.

[MEDIUM] Permissions-Policy ausente: No existen restricciones sobre el acceso del navegador a APIs sensibles como la cámara, el micrófono o la ubicación.

[HIGH] Redirección HTTP a HTTPS inexistente: El servidor responde con un código 307 pero no fuerza la navegación segura, dejando la comunicación inicial expuesta.

[HIGH] Cookie ref sin flags de seguridad: Carece de los atributos HttpOnly, Secure y SameSite, permitiendo que la cookie sea robada mediante scripts o interceptada en conexiones no cifradas.

[HIGH] Cookie cid sin flags de seguridad: Al igual que la anterior, esta cookie es accesible vía JavaScript y vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido mixto detectado: Se cargan 4 recursos (stylesheets y enlaces) mediante el protocolo inseguro HTTP dentro de la página protegida por HTTPS.

[LOW] Ruta sensible en robots.txt: El archivo de indexación hace referencia directa a una ruta admin, facilitando a posibles atacantes la localización de paneles de administración.