Seguridad de ivirtual.itson.edu.mx

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) e inyección de contenido al no restringir los orígenes de carga de scripts.

[HIGH] Strict-Transport-Security: Falta la configuración de HSTS, lo que permite que la conexión sea degradada de HTTPS a HTTP mediante ataques de tipo man-in-the-middle.

[HIGH] Cookie MoodleSession sin HttpOnly: Esta cookie de sesión es accesible mediante JavaScript, permitiendo que un atacante robe la identidad del usuario a través de un script malicioso.

[HIGH] Cookie ApplicationGatewayAffinity sin Secure: La falta de este flag permite que una cookie técnica sea transmitida por canales no cifrados, exponiendo información de la infraestructura.

[MEDIUM] X-Content-Type-Options: Al no estar presente, el navegador podría interpretar archivos de forma incorrecta (MIME-type sniffing), facilitando la ejecución de código no deseado.

[MEDIUM] Referrer-Policy: No se controla qué información de navegación se envía a otros sitios web cuando el usuario hace clic en enlaces externos.

[MEDIUM] Permissions-Policy: El sitio no restringe el uso de APIs del navegador como la cámara o el micrófono, lo que aumenta el riesgo en caso de compromiso del sitio.

[MEDIUM] Cookies sin SameSite: Las cookies de sesión no cuentan con el atributo SameSite, lo que las hace vulnerables a ataques de Cross-Site Request Forgery (CSRF).

[LOW] Server header expuesto: El servidor revela la versión exacta Apache/2.4.58 (Ubuntu), lo que permite a posibles atacantes buscar vulnerabilidades específicas para ese software.

[LOW] Archivos robots.txt y sitemap.xml no encontrados: La ausencia de estos archivos dificulta la auditoría de indexación y puede reflejar una falta de mantenimiento preventivo.