Seguridad de impresiones.tallerssh.cu

[HIGH] Content-Security-Policy: Falta esta cabecera, lo que permite la ejecución de scripts maliciosos y facilita ataques de Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: La ausencia de esta directiva expone al sitio a ataques de clickjacking, permitiendo que la web sea cargada en marcos externos.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, por lo que el navegador no obliga a realizar conexiones siempre seguras vía HTTPS.

[HIGH] Cookie frontend_lang sin flag HttpOnly: Esta cookie de aplicación es accesible mediante scripts de cliente, permitiendo el robo de información en ataques XSS.

[HIGH] Cookie frontend_lang sin flag Secure: La información se transmite sin cifrar si el usuario accede por error mediante el protocolo HTTP.

[HIGH] Cookie session_id sin flag Secure: El identificador de sesión es vulnerable a interceptación en redes locales o conexiones no seguras.

[MEDIUM] Cookies sin flag SameSite: Tanto session_id como frontend_lang carecen de esta protección, facilitando ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Referrer-Policy: No existe una política que controle cuánta información de la URL de origen se comparte con sitios de terceros.

[MEDIUM] Permissions-Policy: No se restringe el acceso de las APIs del navegador a componentes sensibles como la cámara o el micrófono.

[MEDIUM] Contenido Mixto detectado: El sitio carga recursos mediante enlaces HTTP directos, lo que degrada la integridad de la conexión cifrada HTTPS.

[LOW] Cabecera Server expuesta: Se revela el uso de Werkzeug/2.0.2 y Python/3.10.12, proporcionando datos valiosos para que un atacante busque exploits específicos.

[LOW] Meta generator expuesto: El código fuente confirma el uso de la plataforma Odoo, permitiendo identificar vectores de ataque conocidos para dicho sistema.