Seguridad de lottolivery.com

[CRITICAL] Puerto 3306 (MySQL): ABIERTO — La base de datos está expuesta directamente a internet, permitiendo intentos de acceso externo.

[HIGH] Content-Security-Policy: Falta — El sitio no tiene protecciones contra ataques de inyección de scripts (XSS).

[HIGH] X-Frame-Options: Falta — La plataforma es vulnerable a ataques de clickjacking que pueden engañar al usuario.

[HIGH] Strict-Transport-Security: Falta — No se fuerza el uso de conexiones seguras, permitiendo degradaciones de protocolo.

[HIGH] HTTP a HTTPS redireccion: FAIL — El servidor no redirige automáticamente el tráfico inseguro al puerto cifrado.

[HIGH] Puerto 21 (FTP): ABIERTO — Servicio de transferencia de archivos activo sin cifrado, permitiendo la captura de credenciales.

[HIGH] Cookie PHPSESSID: Falta HttpOnly y Secure — La sesión del usuario puede ser robada mediante scripts maliciosos o en redes no seguras.

[MEDIUM] X-Content-Type-Options: Falta — El navegador podría interpretar archivos de forma incorrecta, facilitando la ejecución de malware.

[MEDIUM] Referrer-Policy: Falta — Se podría filtrar información sensible de navegación a dominios de terceros.

[MEDIUM] Permissions-Policy: Falta — No existen restricciones sobre el acceso del sitio a funciones del hardware del usuario.

[MEDIUM] Puerto 22 (SSH): ABIERTO — El puerto de administración remota es visible, aumentando la superficie de ataque por fuerza bruta.

[MEDIUM] Cookie PHPSESSID: Falta SameSite — El sitio es susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Archivos /readme.html y /README.txt: Expuestos — Estos archivos pueden revelar detalles técnicos sobre el desarrollo del sitio.

[MEDIUM] Rutas /administrator/ y /user/login: Accesibles — Los paneles de gestión son visibles para cualquier atacante.

[LOW] Server header expuesto: Revela el uso de nginx, lo que ayuda a un atacante a buscar exploits específicos para esa versión.