Seguridad de helm.tekmob.com

[HIGH] Falta de redirección HTTP a HTTPS: El sitio permite conexiones no cifradas, lo que expone los datos de los usuarios a ataques de intermediario (MitM).

[HIGH] Ausencia de Strict-Transport-Security (HSTS): No se instruye al navegador para que utilice exclusivamente conexiones seguras, permitiendo degradaciones de protocolo.

[HIGH] Cookies de sesión inseguras (JSESSIONID): La cookie carece de los flags HttpOnly y Secure, permitiendo su robo mediante scripts maliciosos o conexiones no cifradas.

[HIGH] Falta de Content-Security-Policy (CSP): El sitio no tiene protección contra ataques de Cross-Site Scripting (XSS) e inyección de contenido.

[MEDIUM] Cookie sin atributo SameSite: La falta de este flag en JSESSIONID hace que el sitio sea vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido mixto (Mixed Content): Se detectaron 3 recursos, incluyendo imágenes y formularios, que se cargan vía HTTP dentro de la página HTTPS, comprometiendo la integridad.

[MEDIUM] Falta de X-Content-Type-Options: El sitio es vulnerable al sniffing de tipos MIME, lo que podría permitir la ejecución de archivos maliciosos disfrazados.

[MEDIUM] Ausencia de Referrer-Policy y Permissions-Policy: No existe control sobre la información de navegación compartida ni sobre el acceso a APIs sensibles del dispositivo.

[LOW] Exposición de cabeceras de servidor: Las cabeceras Server y X-Powered-By revelan el uso de Apache-Coyote/1.1 y JBoss-5.0, facilitando la búsqueda de exploits específicos.

[LOW] Falta de Sitemap: La ausencia del archivo sitemap.xml dificulta la auditoría completa de la estructura del sitio y su correcta indexación.