Seguridad de integramed.es

[HIGH] Falta de Content-Security-Policy: El sitio no define una política de seguridad de contenido, facilitando ataques de XSS y robo de información.

[HIGH] Falta de X-Frame-Options: La ausencia de esta cabecera permite que el sitio sea embebido en marcos externos, aumentando el riesgo de ataques de clickjacking.

[HIGH] Falta de Strict-Transport-Security: No se fuerza el uso de HTTPS mediante HSTS, lo que permite ataques de degradación de protocolo.

[HIGH] Cookie PHPSESSID sin HttpOnly: El identificador de sesión es accesible mediante scripts, facilitando el secuestro de sesiones de usuario.

[HIGH] Cookie PHPSESSID sin flag Secure: La cookie de sesión puede transmitirse por canales no cifrados, comprometiendo la cuenta del usuario.

[MEDIUM] Falta de X-Content-Type-Options: El servidor no previene el rastreo de tipos MIME, lo que podría permitir la ejecución de archivos maliciosos disfrazados.

[MEDIUM] Falta de Referrer-Policy: No se controla qué información de origen se envía a otros sitios, comprometiendo la privacidad de la navegación.

[MEDIUM] Cookie PHPSESSID y PrestaShop sin SameSite: Estas cookies son vulnerables a ataques de falsificación de solicitud en sitios cruzados (CSRF).

[MEDIUM] Bloqueo total en Robots.txt: Se utiliza una directiva que bloquea todo el rastreo del sitio, lo cual puede esconder configuraciones o afectar la visibilidad.

[LOW] Cabecera Server expuesta: Se revela el uso de nginx, proporcionando información útil a atacantes para buscar exploits específicos.

[LOW] Cabecera X-Powered-By expuesta: Se revela el uso de PHP/7.4.33 y Plesk, exponiendo versiones de software potencialmente desactualizadas.

[LOW] Ruta sensible en robots.txt: Se menciona una referencia a "config", lo que orienta a posibles atacantes sobre la estructura interna del servidor.