Seguridad de invictuspc.mx

[HIGH] Cookies sin flag HttpOnly: Las cookies localization, _shopify_y y _shopify_s no tienen el atributo HttpOnly, lo que permite que sean accesibles mediante scripts del navegador, aumentando el riesgo de robo de sesión vía XSS.

[HIGH] Cookies sin flag Secure: Se detectó que las cookies de Shopify y de localización no fuerzan su envío exclusivo por canales cifrados, permitiendo su posible interceptación en redes no seguras.

[MEDIUM] Ausencia de Permissions-Policy: El sitio no define restricciones sobre el uso de APIs del navegador como la cámara, el micrófono o la geolocalización, lo que afecta la privacidad del entorno del usuario.

[MEDIUM] Ausencia de Referrer-Policy: La falta de esta cabecera impide controlar cuánta información de la URL de origen se comparte con sitios externos al hacer clic en enlaces.

[MEDIUM] Puerto 8080 abierto: La presencia de un puerto HTTP alternativo abierto expande la superficie de ataque y sugiere la existencia de un servicio o proxy no documentado.

[MEDIUM] HSTS con duración insuficiente: El tiempo de vida de la política de transporte estricto es de 91 días, inferior a los 180 días recomendados por los estándares de la industria.

[MEDIUM] Cookie localization sin atributo SameSite: La omisión de este parámetro hace que la cookie sea susceptible de ser enviada en solicitudes de terceros, facilitando ataques de falsificación de solicitud en sitios cruzados (CSRF).

[LOW] Exposición de cabecera Server: La respuesta del servidor revela el uso de Cloudflare, lo cual facilita a un atacante potencial la identificación de las tecnologías de protección perimetral empleadas.

[LOW] Referencia a rutas sensibles en robots.txt: El archivo menciona la ruta admin, lo cual expone la ubicación del panel de gestión y facilita intentos de acceso no autorizado.